[AsteriskBrasil] AJUDA INVASÂO

Mike Tesliuk mike em tesliuk.com
Segunda Julho 15 13:26:12 BRT 2013


Desculpe companheiro, mas sumarizar nao é a solução, esta é a lista 
oficial dos IPs, se você quer ter uma regra correta voce deve usar algo 
deste formato, e vai por mim, isso nao muda com tanta frequencia assim.

O tempo que você diz que demora é o tempo pra montar a lista, mas voce 
nao precisa carregar isso cada vez que voce faz um reload no firewall, 
voce monta um arquivo e le o arquivo junto com seu firewall

Em 15/07/13 11:19, Patrick EL Youssef escreveu:
> Eu fiz uns testes já com essa porem só pra carregar o firewall leva um 
> bom tempo
>
> Um colega ai da lista o SIlvio Garbes postou um firewall com uma lista 
> de ips do Brasil bem menor
>
> Estarei tentando ela para ver
>
> Obrigado Mike
> Em 15-07-2013 12:01, Mike Tesliuk escreveu:
>>
>> Este script pega a lista e gera um arquivo (ou ruleset do iptables) 
>> para você, ele baixa a lista da lacnic cada vez que executa, entao se 
>> houver alguma modificação voce atualiza
>>
>> Ex de uso: sh nome_do_script BR
>>
>> Ele vai perguntar a area, voce responde america latina, e o tipo que 
>> voce quer, se é a lista ou o ruleset
>>
>> , ele ta com um erro na expressao regular que ele nao ta deixando 
>> apenas o bloco, mas ai voce limpa facil com sed ou cut, se alguem 
>> quiser corrigir (nao to com tempo neste momento) manda a correção pra 
>> lista.
>>
>> PS: não sei quem é o autor, peguei uma vez na internet isso ai
>>
>> #!/bin/bash
>>
>> REV="$Revision: 4 $"
>> VERSION="0.1"
>> RELEASE=`echo ${REV} | awk '{ print $2}'`
>>
>> # Arg. check
>> if [ "${1}" = "" ]; then
>>   echo `basename ${0}`," v.${VERSION}.${RELEASE}"
>>   echo "Usage Error: missing arguments"
>>   echo ""
>>   echo "   Usage: ${0} <country code>"
>>   echo "   Country codes available at http://www.maxmind.com/app/iso3166"
>>   echo ""
>>   exit
>> else
>> # too lazy to work on a script that will download from the right 
>> server regarding what has been passed at the prompt :p
>> # http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre
>> echo "The country specified belongs to :"
>> echo "1. Africa"
>> echo "2. Asia/Pacific"
>> echo "3. America"
>> echo "4. Latin America/Caribbean"
>> echo "5. Europe"
>> echo ""
>> echo -n "Your zone : "
>> read ZONE
>>
>> echo ""
>> echo "What kind of list do you want to generate ?"
>> echo "1. A list of blocks : simple list, 1 block per line"
>> echo "2. Iptables rulesets : you can set what comes before and after 
>> the blocks"
>> echo ""
>> echo -n "Please make your choice [1/2] : "
>>
>> read LISTRULE
>>
>> if [ "${LISTRULE}" = "2" ]; then
>>     echo "Please specify the prefix rule (e.g. : iptables -A INPUT -s)"
>>     read PRERULE
>>     echo "Specify the postfix rule (e.g. : -j DROP)"
>>     read POSTRULE
>> fi
>>
>>     # Afrinic (afrinic.net) : 
>> ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest
>>     # Apnic   (apnic.net)   : 
>> ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest
>>     # Arin    (arin.net)    : 
>> ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest
>>     # Lacnic  (lacnic.net)  : 
>> ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest
>>     # Ripe       (ripe.net)    : 
>> ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest
>>
>>         LINK="ftp://ftp.apnic.net/public/stats/"
>>
>>     if [ "${ZONE}" = "1" ]; then
>>         FILE="afrinic/delegated-afrinic-latest"
>>     elif [ "${ZONE}" = "2" ]; then
>>         FILE="apnic/assigned-apnic-latest"
>>     elif [ "${ZONE}" = "3" ]; then
>>         FILE="arin/delegated-arin-latest"
>>     elif [ "${ZONE}" = "4" ]; then
>>         FILE="lacnic/delegated-lacnic-latest"
>>     elif [ "${ZONE}" = "5" ]; then
>>     FILE="ripe-ncc/delegated-ripencc-latest"
>>     fi
>>
>>     TMP="/tmp"
>>     COUNTRY=${1}
>>     OUT="${TMP}/blocks-${COUNTRY}"
>>
>>     cd ${TMP}
>>     echo ""
>>     echo "Download :"
>>     /usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O 
>> ${TMP}/db_${COUNTRY}
>>     echo ""
>>     rm -f ${OUT}
>>
>>     for country in ${COUNTRY}
>>     do
>>             IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" | egrep 
>> '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re 
>> "s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"` 
>>
>>
>>             for ips in ${IPS}
>>             do
>>             if [ "${LISTRULE}" = "2" ]; then
>>                     echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT}
>>             else
>>             echo "${ips}" >> ${OUT}
>>             fi
>>             done
>>     done
>>
>>     echo "Block list saved as ${OUT}"
>>     echo ""
>>
>>     rm -f ${FILE}
>>
>> fi
>>
>>
>>
>>
>>
>>
>>
>>
>> Em 15/07/13 10:55, Mike Tesliuk escreveu:
>>> Aqui tem um exemplo pra bloquear um pais, é só inverter a logica e 
>>> voce tem a liberação do pais e bloqueio do resto
>>>
>>> http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
>>>
>>>
>>>
>>>
>>> Em 15/07/13 10:20, Patrick EL Youssef escreveu:
>>>> Caio
>>>>
>>>> Pode postar a regra do firewall que usa pra bloquear esses ips?
>>>>
>>>> Valeu
>>>>
>>>> Em 15-07-2013 11:01, Caio Pato escreveu:
>>>>> On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
>>>>> <asteriskdebian2013 em gmail.com> wrote:
>>>>>> uso FAIL2BAN como firewall!!
>>>>> fail2ban não está mais sendo "eficiente" porque esses pulhas estão
>>>>> fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
>>>>> Antigamente eles despejavam 120 chamadas por vez. Testavam todos os
>>>>> códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma
>>>>> vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativas
>>>>> por HORA, quando não fazem apenas quatro por hora, ao longo das 24
>>>>> horas do dia. Eles tem todo o tempo da vida, porque quando 
>>>>> conseguirem
>>>>> descobrir um buraco no seu dialplan, vão entupir de chamadas para
>>>>> países árabes e da África.
>>>>>
>>>>> Assim, não dá mais para confiar APENAS no fail2ban - é um método
>>>>> ultrapassado de proteção.
>>>>>
>>>>> Não sei qual é a sua utilização do servidor (provedor? usuário?
>>>>> corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.
>>>>>
>>>>> A ligação teste é *SEMPRE* feita para alguns telefones: um celular em
>>>>> Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).
>>>>>
>>>>> NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia -
>>>>> geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
>>>>> servidor que efetivamente enviará as chamadas. Aqui (por ser
>>>>> corporativo hospedado em datacenter) eu decidi bloquear geralmente o
>>>>> /8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco
>>>>> livre.
>>>>>
>>>>> Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no
>>>>> dialplan e... monitorar a rede.
>>>>>
>>>>> Procure uma mensagem aqui na lista com o mesmo problema há alguns
>>>>> meses. Um colega da lista foi "invadido" por esses pulhas e quem
>>>>> detectou foi a área de segurança da empresa de telefonia - mas só no
>>>>> dia seguinte da invasão... Ai o estrago já era grande demais.
>>>>>
>>>>>
>>>>> Conclusão:
>>>>> 1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia
>>>>> logo o bloco (/16 ou /8) ou relaxa...
>>>>> 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
>>>>> partir da rede externa;
>>>>> 3) Olhe seu log com frequência - procure por chamadas para um celular
>>>>> em Israel (9725) ou Palestina (970);
>>>>> 4) Crie um script para enviar todas as madrugadas o logo de todas as
>>>>> chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo
>>>>> que tardias, mas ajuda.
>>>>> _______________________________________________
>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em 
>>>>> www.Khomp.com.
>>>>> _______________________________________________
>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e 
>>>>> SS7.
>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
>>>>> _______________________________________________
>>>>> Para remover seu email desta lista, basta enviar um email em 
>>>>> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>> _______________________________________________
>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130715/e77448e6/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil