[AsteriskBrasil] AJUDA INVASÂO

Mike Tesliuk mike em tesliuk.com
Segunda Julho 15 15:47:51 BRT 2013


sim, voce nao libera por exemplo faixas que sao da puc e da petrobras, 
nao que voce tenha negocios com eles neste ambiente, mas de qualquer 
forma, esta incompleto, mas enfim, possivel usar é, mas como eu disse, 
voce esta sumarizando os prefixos, eles possuem alocações diferentes, 
outra diferença entre você fazer pela lacnic ou por esta forma ai, é que 
voce pode monitorar os bytes que voce recebe, e automaticamente voce 
sabe que uma determinada faixa pertence a um AS e pode informar para o 
ABUSE responsavel, pois você tem exatamente a faixa alocado.


Uma coisa é você fazer algo que funciona, outra coisa é você fazer algo 
pra funcionar da melhor maneira, nos dois casos funcionam, só muda a 
elegancia da solução.


Existem outras formas de fazer isso por geo ip também, inclusive existe 
um modulo de geoip pro iptables



Em 15/07/13 13:47, Patrick El Youssef escreveu:
> Entendi Mike,
>
> Estou dizendo isso pois percebi que a range de ips é enorme e muitos 
> pela minha experiencia não cheguei a ver em uso (porém não sou expert 
> nisso)
>
> Segue a lista que estou usando (como disse peguei do firewall do 
> Silvio e ainda estou testando)
>
> 177.0.0.0/255.224.0.0
> 177.32.0.0/255.224.0.0
> 177.64.0.0/255.224.0.0
> 177.96.0.0/255.224.0.0
> 177.128.0.0/255.224.0.0
> 177.160.0.0/255.224.0.0
> 177.192.0.0/255.224.0.0
> 179.160.0.0/255.224.0.0
> 179.192.0.0/255.224.0.0
> 179.224.0.0/255.224.0.0
> 186.192.0.0/255.224.0.0
> 186.224.0.0/255.224.0.0
> 187.0.0.0/255.224.0.0
> 187.32.0.0/255.224.0.0
> 187.64.0.0/255.224.0.0
> 187.96.0.0/255.224.0.0
> 189.0.0.0/255.224.0.0
> 189.32.0.0/255.224.0.0
> 189.64.0.0/255.224.0.0
> 189.96.0.0/255.224.0.0
> 200.17.0.0/255.255.0.0
> 200.18.0.0/255.254.0.0
> 200.20.0.0/255.255.0.0
> 200.96.0.0/255.248.0.0
> 200.128.0.0/255.128.0.0
> 201.0.0.0/255.240.0.0
> 201.16.0.0/255.240.0.0
> 201.32.0.0/255.240.0.0
> 201.48.0.0/255.240.0.0
> 201.64.0.0/255.224.0.0
>
> Obrigado
>
> Em 15-07-2013 14:16, Mike Tesliuk escreveu:
>> você poderia nos mostrar quais foram os blocos que você utilizou ? ai 
>> eu te digo se há ou não problema com sua regra , a questao é que você 
>> pode ter blocos no meio.
>>
>> Como exemplo, voce tem a faixa de ip 177 e 179 que sao BR (nao 
>> completas), e a faixa 178 que é usada na alemanha, e talvez algum 
>> outro lugar mais (nao verifiquei onde mais)
>>
>>
>>
>> Em 15/07/13 12:31, Patrick EL Youssef escreveu:
>>> Desculpe Mike,
>>>
>>> Mas não entendi qual o problema da lista menor até porque eu 
>>> liberarei apenas estes ips bloqueando todo o resto
>>>
>>> Patrick
>>>
>>> Em 15-07-2013 13:26, Mike Tesliuk escreveu:
>>>> Desculpe companheiro, mas sumarizar nao é a solução, esta é a lista 
>>>> oficial dos IPs, se você quer ter uma regra correta voce deve usar 
>>>> algo deste formato, e vai por mim, isso nao muda com tanta 
>>>> frequencia assim.
>>>>
>>>> O tempo que você diz que demora é o tempo pra montar a lista, mas 
>>>> voce nao precisa carregar isso cada vez que voce faz um reload no 
>>>> firewall, voce monta um arquivo e le o arquivo junto com seu firewall
>>>>
>>>> Em 15/07/13 11:19, Patrick EL Youssef escreveu:
>>>>> Eu fiz uns testes já com essa porem só pra carregar o firewall 
>>>>> leva um bom tempo
>>>>>
>>>>> Um colega ai da lista o SIlvio Garbes postou um firewall com uma 
>>>>> lista de ips do Brasil bem menor
>>>>>
>>>>> Estarei tentando ela para ver
>>>>>
>>>>> Obrigado Mike
>>>>> Em 15-07-2013 12:01, Mike Tesliuk escreveu:
>>>>>>
>>>>>> Este script pega a lista e gera um arquivo (ou ruleset do 
>>>>>> iptables) para você, ele baixa a lista da lacnic cada vez que 
>>>>>> executa, entao se houver alguma modificação voce atualiza
>>>>>>
>>>>>> Ex de uso: sh nome_do_script BR
>>>>>>
>>>>>> Ele vai perguntar a area, voce responde america latina, e o tipo 
>>>>>> que voce quer, se é a lista ou o ruleset
>>>>>>
>>>>>> , ele ta com um erro na expressao regular que ele nao ta deixando 
>>>>>> apenas o bloco, mas ai voce limpa facil com sed ou cut, se alguem 
>>>>>> quiser corrigir (nao to com tempo neste momento) manda a correção 
>>>>>> pra lista.
>>>>>>
>>>>>> PS: não sei quem é o autor, peguei uma vez na internet isso ai
>>>>>>
>>>>>> #!/bin/bash
>>>>>>
>>>>>> REV="$Revision: 4 $"
>>>>>> VERSION="0.1"
>>>>>> RELEASE=`echo ${REV} | awk '{ print $2}'`
>>>>>>
>>>>>> # Arg. check
>>>>>> if [ "${1}" = "" ]; then
>>>>>>   echo `basename ${0}`," v.${VERSION}.${RELEASE}"
>>>>>>   echo "Usage Error: missing arguments"
>>>>>>   echo ""
>>>>>>   echo "   Usage: ${0} <country code>"
>>>>>>   echo "   Country codes available at 
>>>>>> http://www.maxmind.com/app/iso3166"
>>>>>>   echo ""
>>>>>>   exit
>>>>>> else
>>>>>> # too lazy to work on a script that will download from the right 
>>>>>> server regarding what has been passed at the prompt :p
>>>>>> # http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre
>>>>>> echo "The country specified belongs to :"
>>>>>> echo "1. Africa"
>>>>>> echo "2. Asia/Pacific"
>>>>>> echo "3. America"
>>>>>> echo "4. Latin America/Caribbean"
>>>>>> echo "5. Europe"
>>>>>> echo ""
>>>>>> echo -n "Your zone : "
>>>>>> read ZONE
>>>>>>
>>>>>> echo ""
>>>>>> echo "What kind of list do you want to generate ?"
>>>>>> echo "1. A list of blocks : simple list, 1 block per line"
>>>>>> echo "2. Iptables rulesets : you can set what comes before and 
>>>>>> after the blocks"
>>>>>> echo ""
>>>>>> echo -n "Please make your choice [1/2] : "
>>>>>>
>>>>>> read LISTRULE
>>>>>>
>>>>>> if [ "${LISTRULE}" = "2" ]; then
>>>>>>     echo "Please specify the prefix rule (e.g. : iptables -A 
>>>>>> INPUT -s)"
>>>>>>     read PRERULE
>>>>>>     echo "Specify the postfix rule (e.g. : -j DROP)"
>>>>>>     read POSTRULE
>>>>>> fi
>>>>>>
>>>>>>     # Afrinic (afrinic.net) : 
>>>>>> ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest
>>>>>>     # Apnic   (apnic.net)   : 
>>>>>> ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest
>>>>>>     # Arin    (arin.net)    : 
>>>>>> ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest
>>>>>>     # Lacnic  (lacnic.net)  : 
>>>>>> ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest
>>>>>>     # Ripe       (ripe.net)    : 
>>>>>> ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest
>>>>>>
>>>>>>         LINK="ftp://ftp.apnic.net/public/stats/"
>>>>>>
>>>>>>     if [ "${ZONE}" = "1" ]; then
>>>>>>         FILE="afrinic/delegated-afrinic-latest"
>>>>>>     elif [ "${ZONE}" = "2" ]; then
>>>>>>         FILE="apnic/assigned-apnic-latest"
>>>>>>     elif [ "${ZONE}" = "3" ]; then
>>>>>>         FILE="arin/delegated-arin-latest"
>>>>>>     elif [ "${ZONE}" = "4" ]; then
>>>>>>         FILE="lacnic/delegated-lacnic-latest"
>>>>>>     elif [ "${ZONE}" = "5" ]; then
>>>>>>     FILE="ripe-ncc/delegated-ripencc-latest"
>>>>>>     fi
>>>>>>
>>>>>>     TMP="/tmp"
>>>>>>     COUNTRY=${1}
>>>>>>     OUT="${TMP}/blocks-${COUNTRY}"
>>>>>>
>>>>>>     cd ${TMP}
>>>>>>     echo ""
>>>>>>     echo "Download :"
>>>>>>     /usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O 
>>>>>> ${TMP}/db_${COUNTRY}
>>>>>>     echo ""
>>>>>>     rm -f ${OUT}
>>>>>>
>>>>>>     for country in ${COUNTRY}
>>>>>>     do
>>>>>>             IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" | 
>>>>>> egrep '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re 
>>>>>> "s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"` 
>>>>>>
>>>>>>
>>>>>>             for ips in ${IPS}
>>>>>>             do
>>>>>>             if [ "${LISTRULE}" = "2" ]; then
>>>>>>                     echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT}
>>>>>>             else
>>>>>>             echo "${ips}" >> ${OUT}
>>>>>>             fi
>>>>>>             done
>>>>>>     done
>>>>>>
>>>>>>     echo "Block list saved as ${OUT}"
>>>>>>     echo ""
>>>>>>
>>>>>>     rm -f ${FILE}
>>>>>>
>>>>>> fi
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Em 15/07/13 10:55, Mike Tesliuk escreveu:
>>>>>>> Aqui tem um exemplo pra bloquear um pais, é só inverter a logica 
>>>>>>> e voce tem a liberação do pais e bloqueio do resto
>>>>>>>
>>>>>>> http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Em 15/07/13 10:20, Patrick EL Youssef escreveu:
>>>>>>>> Caio
>>>>>>>>
>>>>>>>> Pode postar a regra do firewall que usa pra bloquear esses ips?
>>>>>>>>
>>>>>>>> Valeu
>>>>>>>>
>>>>>>>> Em 15-07-2013 11:01, Caio Pato escreveu:
>>>>>>>>> On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
>>>>>>>>> <asteriskdebian2013 em gmail.com> wrote:
>>>>>>>>>> uso FAIL2BAN como firewall!!
>>>>>>>>> fail2ban não está mais sendo "eficiente" porque esses pulhas 
>>>>>>>>> estão
>>>>>>>>> fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
>>>>>>>>> Antigamente eles despejavam 120 chamadas por vez. Testavam 
>>>>>>>>> todos os
>>>>>>>>> códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) 
>>>>>>>>> de uma
>>>>>>>>> vez só. Agora, já mais "espertos", eles fazem apenas CINCO 
>>>>>>>>> tentativas
>>>>>>>>> por HORA, quando não fazem apenas quatro por hora, ao longo 
>>>>>>>>> das 24
>>>>>>>>> horas do dia. Eles tem todo o tempo da vida, porque quando 
>>>>>>>>> conseguirem
>>>>>>>>> descobrir um buraco no seu dialplan, vão entupir de chamadas para
>>>>>>>>> países árabes e da África.
>>>>>>>>>
>>>>>>>>> Assim, não dá mais para confiar APENAS no fail2ban - é um método
>>>>>>>>> ultrapassado de proteção.
>>>>>>>>>
>>>>>>>>> Não sei qual é a sua utilização do servidor (provedor? usuário?
>>>>>>>>> corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu 
>>>>>>>>> dialplan.
>>>>>>>>>
>>>>>>>>> A ligação teste é *SEMPRE* feita para alguns telefones: um 
>>>>>>>>> celular em
>>>>>>>>> Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).
>>>>>>>>>
>>>>>>>>> NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a 
>>>>>>>>> cada dia -
>>>>>>>>> geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
>>>>>>>>> servidor que efetivamente enviará as chamadas. Aqui (por ser
>>>>>>>>> corporativo hospedado em datacenter) eu decidi bloquear 
>>>>>>>>> geralmente o
>>>>>>>>> /8 do IP de origem. Resolve, mas eles sempre acham algum outro 
>>>>>>>>> bloco
>>>>>>>>> livre.
>>>>>>>>>
>>>>>>>>> Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM 
>>>>>>>>> BURACOS no
>>>>>>>>> dialplan e... monitorar a rede.
>>>>>>>>>
>>>>>>>>> Procure uma mensagem aqui na lista com o mesmo problema há alguns
>>>>>>>>> meses. Um colega da lista foi "invadido" por esses pulhas e quem
>>>>>>>>> detectou foi a área de segurança da empresa de telefonia - mas 
>>>>>>>>> só no
>>>>>>>>> dia seguinte da invasão... Ai o estrago já era grande demais.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Conclusão:
>>>>>>>>> 1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você 
>>>>>>>>> bloqueia
>>>>>>>>> logo o bloco (/16 ou /8) ou relaxa...
>>>>>>>>> 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
>>>>>>>>> partir da rede externa;
>>>>>>>>> 3) Olhe seu log com frequência - procure por chamadas para um 
>>>>>>>>> celular
>>>>>>>>> em Israel (9725) ou Palestina (970);
>>>>>>>>> 4) Crie um script para enviar todas as madrugadas o logo de 
>>>>>>>>> todas as
>>>>>>>>> chamadas. Vai ajudar a achar eventuais tentativas de invasão - 
>>>>>>>>> mesmo
>>>>>>>>> que tardias, mas ajuda.
>>>>>>>>> _______________________________________________
>>>>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em 
>>>>>>>>> www.Khomp.com.
>>>>>>>>> _______________________________________________
>>>>>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, 
>>>>>>>>> ISDN e SS7.
>>>>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>>>>>> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
>>>>>>>>> _______________________________________________
>>>>>>>>> Para remover seu email desta lista, basta enviar um email em 
>>>>>>>>> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>>>>>> _______________________________________________
>>>>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>>>>>> _______________________________________________
>>>>>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>>>>> _______________________________________________
>>>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>>>>> _______________________________________________
>>>>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>>
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>>>> _______________________________________________
>>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>>>> _______________________________________________
>>>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>>> _______________________________________________
>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>>> _______________________________________________
>>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>> _______________________________________________
>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130715/4543dd42/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil