[AsteriskBrasil] AJUDA INVASÂO
Patrick El Youssef
wushumasters em gmail.com
Segunda Julho 15 14:47:22 BRT 2013
Entendi Mike,
Estou dizendo isso pois percebi que a range de ips é enorme e muitos
pela minha experiencia não cheguei a ver em uso (porém não sou expert nisso)
Segue a lista que estou usando (como disse peguei do firewall do Silvio
e ainda estou testando)
177.0.0.0/255.224.0.0
177.32.0.0/255.224.0.0
177.64.0.0/255.224.0.0
177.96.0.0/255.224.0.0
177.128.0.0/255.224.0.0
177.160.0.0/255.224.0.0
177.192.0.0/255.224.0.0
179.160.0.0/255.224.0.0
179.192.0.0/255.224.0.0
179.224.0.0/255.224.0.0
186.192.0.0/255.224.0.0
186.224.0.0/255.224.0.0
187.0.0.0/255.224.0.0
187.32.0.0/255.224.0.0
187.64.0.0/255.224.0.0
187.96.0.0/255.224.0.0
189.0.0.0/255.224.0.0
189.32.0.0/255.224.0.0
189.64.0.0/255.224.0.0
189.96.0.0/255.224.0.0
200.17.0.0/255.255.0.0
200.18.0.0/255.254.0.0
200.20.0.0/255.255.0.0
200.96.0.0/255.248.0.0
200.128.0.0/255.128.0.0
201.0.0.0/255.240.0.0
201.16.0.0/255.240.0.0
201.32.0.0/255.240.0.0
201.48.0.0/255.240.0.0
201.64.0.0/255.224.0.0
Obrigado
Em 15-07-2013 14:16, Mike Tesliuk escreveu:
> você poderia nos mostrar quais foram os blocos que você utilizou ? ai
> eu te digo se há ou não problema com sua regra , a questao é que você
> pode ter blocos no meio.
>
> Como exemplo, voce tem a faixa de ip 177 e 179 que sao BR (nao
> completas), e a faixa 178 que é usada na alemanha, e talvez algum
> outro lugar mais (nao verifiquei onde mais)
>
>
>
> Em 15/07/13 12:31, Patrick EL Youssef escreveu:
>> Desculpe Mike,
>>
>> Mas não entendi qual o problema da lista menor até porque eu
>> liberarei apenas estes ips bloqueando todo o resto
>>
>> Patrick
>>
>> Em 15-07-2013 13:26, Mike Tesliuk escreveu:
>>> Desculpe companheiro, mas sumarizar nao é a solução, esta é a lista
>>> oficial dos IPs, se você quer ter uma regra correta voce deve usar
>>> algo deste formato, e vai por mim, isso nao muda com tanta
>>> frequencia assim.
>>>
>>> O tempo que você diz que demora é o tempo pra montar a lista, mas
>>> voce nao precisa carregar isso cada vez que voce faz um reload no
>>> firewall, voce monta um arquivo e le o arquivo junto com seu firewall
>>>
>>> Em 15/07/13 11:19, Patrick EL Youssef escreveu:
>>>> Eu fiz uns testes já com essa porem só pra carregar o firewall leva
>>>> um bom tempo
>>>>
>>>> Um colega ai da lista o SIlvio Garbes postou um firewall com uma
>>>> lista de ips do Brasil bem menor
>>>>
>>>> Estarei tentando ela para ver
>>>>
>>>> Obrigado Mike
>>>> Em 15-07-2013 12:01, Mike Tesliuk escreveu:
>>>>>
>>>>> Este script pega a lista e gera um arquivo (ou ruleset do
>>>>> iptables) para você, ele baixa a lista da lacnic cada vez que
>>>>> executa, entao se houver alguma modificação voce atualiza
>>>>>
>>>>> Ex de uso: sh nome_do_script BR
>>>>>
>>>>> Ele vai perguntar a area, voce responde america latina, e o tipo
>>>>> que voce quer, se é a lista ou o ruleset
>>>>>
>>>>> , ele ta com um erro na expressao regular que ele nao ta deixando
>>>>> apenas o bloco, mas ai voce limpa facil com sed ou cut, se alguem
>>>>> quiser corrigir (nao to com tempo neste momento) manda a correção
>>>>> pra lista.
>>>>>
>>>>> PS: não sei quem é o autor, peguei uma vez na internet isso ai
>>>>>
>>>>> #!/bin/bash
>>>>>
>>>>> REV="$Revision: 4 $"
>>>>> VERSION="0.1"
>>>>> RELEASE=`echo ${REV} | awk '{ print $2}'`
>>>>>
>>>>> # Arg. check
>>>>> if [ "${1}" = "" ]; then
>>>>> echo `basename ${0}`," v.${VERSION}.${RELEASE}"
>>>>> echo "Usage Error: missing arguments"
>>>>> echo ""
>>>>> echo " Usage: ${0} <country code>"
>>>>> echo " Country codes available at
>>>>> http://www.maxmind.com/app/iso3166"
>>>>> echo ""
>>>>> exit
>>>>> else
>>>>> # too lazy to work on a script that will download from the right
>>>>> server regarding what has been passed at the prompt :p
>>>>> # http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre
>>>>> echo "The country specified belongs to :"
>>>>> echo "1. Africa"
>>>>> echo "2. Asia/Pacific"
>>>>> echo "3. America"
>>>>> echo "4. Latin America/Caribbean"
>>>>> echo "5. Europe"
>>>>> echo ""
>>>>> echo -n "Your zone : "
>>>>> read ZONE
>>>>>
>>>>> echo ""
>>>>> echo "What kind of list do you want to generate ?"
>>>>> echo "1. A list of blocks : simple list, 1 block per line"
>>>>> echo "2. Iptables rulesets : you can set what comes before and
>>>>> after the blocks"
>>>>> echo ""
>>>>> echo -n "Please make your choice [1/2] : "
>>>>>
>>>>> read LISTRULE
>>>>>
>>>>> if [ "${LISTRULE}" = "2" ]; then
>>>>> echo "Please specify the prefix rule (e.g. : iptables -A INPUT
>>>>> -s)"
>>>>> read PRERULE
>>>>> echo "Specify the postfix rule (e.g. : -j DROP)"
>>>>> read POSTRULE
>>>>> fi
>>>>>
>>>>> # Afrinic (afrinic.net) :
>>>>> ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest
>>>>> # Apnic (apnic.net) :
>>>>> ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest
>>>>> # Arin (arin.net) :
>>>>> ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest
>>>>> # Lacnic (lacnic.net) :
>>>>> ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest
>>>>> # Ripe (ripe.net) :
>>>>> ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest
>>>>>
>>>>> LINK="ftp://ftp.apnic.net/public/stats/"
>>>>>
>>>>> if [ "${ZONE}" = "1" ]; then
>>>>> FILE="afrinic/delegated-afrinic-latest"
>>>>> elif [ "${ZONE}" = "2" ]; then
>>>>> FILE="apnic/assigned-apnic-latest"
>>>>> elif [ "${ZONE}" = "3" ]; then
>>>>> FILE="arin/delegated-arin-latest"
>>>>> elif [ "${ZONE}" = "4" ]; then
>>>>> FILE="lacnic/delegated-lacnic-latest"
>>>>> elif [ "${ZONE}" = "5" ]; then
>>>>> FILE="ripe-ncc/delegated-ripencc-latest"
>>>>> fi
>>>>>
>>>>> TMP="/tmp"
>>>>> COUNTRY=${1}
>>>>> OUT="${TMP}/blocks-${COUNTRY}"
>>>>>
>>>>> cd ${TMP}
>>>>> echo ""
>>>>> echo "Download :"
>>>>> /usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O
>>>>> ${TMP}/db_${COUNTRY}
>>>>> echo ""
>>>>> rm -f ${OUT}
>>>>>
>>>>> for country in ${COUNTRY}
>>>>> do
>>>>> IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" |
>>>>> egrep '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re
>>>>> "s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"`
>>>>>
>>>>>
>>>>> for ips in ${IPS}
>>>>> do
>>>>> if [ "${LISTRULE}" = "2" ]; then
>>>>> echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT}
>>>>> else
>>>>> echo "${ips}" >> ${OUT}
>>>>> fi
>>>>> done
>>>>> done
>>>>>
>>>>> echo "Block list saved as ${OUT}"
>>>>> echo ""
>>>>>
>>>>> rm -f ${FILE}
>>>>>
>>>>> fi
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Em 15/07/13 10:55, Mike Tesliuk escreveu:
>>>>>> Aqui tem um exemplo pra bloquear um pais, é só inverter a logica
>>>>>> e voce tem a liberação do pais e bloqueio do resto
>>>>>>
>>>>>> http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Em 15/07/13 10:20, Patrick EL Youssef escreveu:
>>>>>>> Caio
>>>>>>>
>>>>>>> Pode postar a regra do firewall que usa pra bloquear esses ips?
>>>>>>>
>>>>>>> Valeu
>>>>>>>
>>>>>>> Em 15-07-2013 11:01, Caio Pato escreveu:
>>>>>>>> On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
>>>>>>>> <asteriskdebian2013 em gmail.com> wrote:
>>>>>>>>> uso FAIL2BAN como firewall!!
>>>>>>>> fail2ban não está mais sendo "eficiente" porque esses pulhas estão
>>>>>>>> fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
>>>>>>>> Antigamente eles despejavam 120 chamadas por vez. Testavam
>>>>>>>> todos os
>>>>>>>> códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...)
>>>>>>>> de uma
>>>>>>>> vez só. Agora, já mais "espertos", eles fazem apenas CINCO
>>>>>>>> tentativas
>>>>>>>> por HORA, quando não fazem apenas quatro por hora, ao longo das 24
>>>>>>>> horas do dia. Eles tem todo o tempo da vida, porque quando
>>>>>>>> conseguirem
>>>>>>>> descobrir um buraco no seu dialplan, vão entupir de chamadas para
>>>>>>>> países árabes e da África.
>>>>>>>>
>>>>>>>> Assim, não dá mais para confiar APENAS no fail2ban - é um método
>>>>>>>> ultrapassado de proteção.
>>>>>>>>
>>>>>>>> Não sei qual é a sua utilização do servidor (provedor? usuário?
>>>>>>>> corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu
>>>>>>>> dialplan.
>>>>>>>>
>>>>>>>> A ligação teste é *SEMPRE* feita para alguns telefones: um
>>>>>>>> celular em
>>>>>>>> Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).
>>>>>>>>
>>>>>>>> NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada
>>>>>>>> dia -
>>>>>>>> geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
>>>>>>>> servidor que efetivamente enviará as chamadas. Aqui (por ser
>>>>>>>> corporativo hospedado em datacenter) eu decidi bloquear
>>>>>>>> geralmente o
>>>>>>>> /8 do IP de origem. Resolve, mas eles sempre acham algum outro
>>>>>>>> bloco
>>>>>>>> livre.
>>>>>>>>
>>>>>>>> Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM
>>>>>>>> BURACOS no
>>>>>>>> dialplan e... monitorar a rede.
>>>>>>>>
>>>>>>>> Procure uma mensagem aqui na lista com o mesmo problema há alguns
>>>>>>>> meses. Um colega da lista foi "invadido" por esses pulhas e quem
>>>>>>>> detectou foi a área de segurança da empresa de telefonia - mas
>>>>>>>> só no
>>>>>>>> dia seguinte da invasão... Ai o estrago já era grande demais.
>>>>>>>>
>>>>>>>>
>>>>>>>> Conclusão:
>>>>>>>> 1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você
>>>>>>>> bloqueia
>>>>>>>> logo o bloco (/16 ou /8) ou relaxa...
>>>>>>>> 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
>>>>>>>> partir da rede externa;
>>>>>>>> 3) Olhe seu log com frequência - procure por chamadas para um
>>>>>>>> celular
>>>>>>>> em Israel (9725) ou Palestina (970);
>>>>>>>> 4) Crie um script para enviar todas as madrugadas o logo de
>>>>>>>> todas as
>>>>>>>> chamadas. Vai ajudar a achar eventuais tentativas de invasão -
>>>>>>>> mesmo
>>>>>>>> que tardias, mas ajuda.
>>>>>>>> _______________________________________________
>>>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>>>>>> www.Khomp.com.
>>>>>>>> _______________________________________________
>>>>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN
>>>>>>>> e SS7.
>>>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>>>>> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
>>>>>>>> _______________________________________________
>>>>>>>> Para remover seu email desta lista, basta enviar um email em
>>>>>>>> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>>>>> _______________________________________________
>>>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>>>>> _______________________________________________
>>>>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>>
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>>>> _______________________________________________
>>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>>>> _______________________________________________
>>>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>>> _______________________________________________
>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>>> _______________________________________________
>>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>> _______________________________________________
>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130715/14d7015e/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil