[AsteriskBrasil] RES: AJUDA INVASÂO

Segunda Julho 15 17:34:59 BRT 2013

Uma boa solução e criar um Blacklist,  fazendo com GOTOIF  a contagem de
chamadas entrantes para mesmo numero, e bloquear todas que estiverem
repetidas!

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Patrick
El Youssef
Enviada em: segunda-feira, 15 de julho de 2013 14:47
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] AJUDA INVASÂO

Entendi Mike,

Estou dizendo isso pois percebi que a range de ips é enorme e muitos pela
minha experiencia não cheguei a ver em uso (porém não sou expert nisso)

Segue a lista que estou usando (como disse peguei do firewall do Silvio e
ainda estou testando)

177.0.0.0/255.224.0.0 
177.32.0.0/255.224.0.0
177.64.0.0/255.224.0.0
177.96.0.0/255.224.0.0
177.128.0.0/255.224.0.0
177.160.0.0/255.224.0.0
177.192.0.0/255.224.0.0
179.160.0.0/255.224.0.0
179.192.0.0/255.224.0.0
179.224.0.0/255.224.0.0
186.192.0.0/255.224.0.0
186.224.0.0/255.224.0.0
187.0.0.0/255.224.0.0 
187.32.0.0/255.224.0.0
187.64.0.0/255.224.0.0
187.96.0.0/255.224.0.0
189.0.0.0/255.224.0.0 
189.32.0.0/255.224.0.0
189.64.0.0/255.224.0.0
189.96.0.0/255.224.0.0
200.17.0.0/255.255.0.0
200.18.0.0/255.254.0.0
200.20.0.0/255.255.0.0
200.96.0.0/255.248.0.0
200.128.0.0/255.128.0.0
201.0.0.0/255.240.0.0 
201.16.0.0/255.240.0.0
201.32.0.0/255.240.0.0
201.48.0.0/255.240.0.0
201.64.0.0/255.224.0.0 

Obrigado

Em 15-07-2013 14:16, Mike Tesliuk escreveu:

você poderia nos mostrar quais foram os blocos que você utilizou ? ai eu te
digo se há ou não problema com sua regra , a questao é que você pode ter
blocos no meio.

Como exemplo, voce tem a faixa de ip 177 e 179 que sao BR (nao completas), e
a faixa 178 que é usada na alemanha, e talvez algum outro lugar mais (nao
verifiquei onde mais)

Em 15/07/13 12:31, Patrick EL Youssef escreveu:

Desculpe Mike,

Mas não entendi qual o problema da lista menor até porque eu liberarei
apenas estes ips bloqueando todo o resto

Patrick

Em 15-07-2013 13:26, Mike Tesliuk escreveu:

Desculpe companheiro, mas sumarizar nao é a solução, esta é a lista oficial
dos IPs, se você quer ter uma regra correta voce deve usar algo deste
formato, e vai por mim, isso nao muda com tanta frequencia assim.

O tempo que você diz que demora é o tempo pra montar a lista, mas voce nao
precisa carregar isso cada vez que voce faz um reload no firewall, voce
monta um arquivo e le o arquivo junto com seu firewall

Em 15/07/13 11:19, Patrick EL Youssef escreveu:

Eu fiz uns testes já com essa porem só pra carregar o firewall leva um bom
tempo

Um colega ai da lista o SIlvio Garbes postou um firewall com uma lista de
ips do Brasil bem menor

Estarei tentando ela para ver

Obrigado Mike

Em 15-07-2013 12:01, Mike Tesliuk escreveu:

Este script pega a lista e gera um arquivo (ou ruleset do iptables) para
você, ele baixa a lista da lacnic cada vez que executa, entao se houver
alguma modificação voce atualiza

Ex de uso: sh nome_do_script BR

Ele vai perguntar a area, voce responde america latina, e o tipo que voce
quer, se é a lista ou o ruleset

, ele ta com um erro na expressao regular que ele nao ta deixando apenas o
bloco, mas ai voce limpa facil com sed ou cut, se alguem quiser corrigir
(nao to com tempo neste momento) manda a correção pra lista.

PS: não sei quem é o autor, peguei uma vez na internet isso ai

#!/bin/bash

REV="$Revision: 4 $"
VERSION="0.1"
RELEASE=`echo ${REV} | awk '{ print $2}'`

# Arg. check
if [ "${1}" = "" ]; then
  echo `basename ${0}`," v.${VERSION}.${RELEASE}"
  echo "Usage Error: missing arguments"
  echo ""
  echo "   Usage: ${0} <country code>"
  echo "   Country codes available at http://www.maxmind.com/app/iso3166"
  echo ""
  exit
else
# too lazy to work on a script that will download from the right server
regarding what has been passed at the prompt :p
# http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre
echo "The country specified belongs to :"
echo "1. Africa"
echo "2. Asia/Pacific"
echo "3. America"
echo "4. Latin America/Caribbean"
echo "5. Europe"
echo ""
echo -n "Your zone : "
read ZONE

echo ""
echo "What kind of list do you want to generate ?"
echo "1. A list of blocks : simple list, 1 block per line"
echo "2. Iptables rulesets : you can set what comes before and after the
blocks"
echo ""
echo -n "Please make your choice [1/2] : "

read LISTRULE

if [ "${LISTRULE}" = "2" ]; then
    echo "Please specify the prefix rule (e.g. : iptables -A INPUT -s)"
    read PRERULE
    echo "Specify the postfix rule (e.g. : -j DROP)"
    read POSTRULE
fi

    # Afrinic (afrinic.net) :
ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest
    # Apnic   (apnic.net)   :
ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest
    # Arin    (arin.net)    :
ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest
    # Lacnic  (lacnic.net)  :
ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest
    # Ripe       (ripe.net)    :
ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest

        LINK= <ftp://ftp.apnic.net/public/stats/>
"ftp://ftp.apnic.net/public/stats/"

    if [ "${ZONE}" = "1" ]; then 
        FILE="afrinic/delegated-afrinic-latest"
    elif [ "${ZONE}" = "2" ]; then 
        FILE="apnic/assigned-apnic-latest"
    elif [ "${ZONE}" = "3" ]; then 
        FILE="arin/delegated-arin-latest"
    elif [ "${ZONE}" = "4" ]; then 
        FILE="lacnic/delegated-lacnic-latest"
    elif [ "${ZONE}" = "5" ]; then 
    FILE="ripe-ncc/delegated-ripencc-latest"
    fi

    TMP="/tmp"
    COUNTRY=${1}
    OUT="${TMP}/blocks-${COUNTRY}"

    cd ${TMP}
    echo ""
    echo "Download :"
    /usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O ${TMP}/db_${COUNTRY}
    echo ""
    rm -f ${OUT}

    for country in ${COUNTRY}
    do
            IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" | egrep
'[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re
"s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9
]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\
/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536
/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;
s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"`

            for ips in ${IPS}
            do
            if [ "${LISTRULE}" = "2" ]; then
                    echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT}
            else
            echo "${ips}" >> ${OUT}
            fi
            done
    done 

    echo "Block list saved as ${OUT}"
    echo ""

    rm -f ${FILE}

fi

Em 15/07/13 10:55, Mike Tesliuk escreveu:

Aqui tem um exemplo pra bloquear um pais, é só inverter a logica e voce tem
a liberação do pais e bloqueio do resto

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

Em 15/07/13 10:20, Patrick EL Youssef escreveu:

Caio 

Pode postar a regra do firewall que usa pra bloquear esses ips? 

Valeu 

Em 15-07-2013 11:01, Caio Pato escreveu: 

On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk 
 <mailto:asteriskdebian2013 em gmail.com> <asteriskdebian2013 em gmail.com> wrote:

uso FAIL2BAN como firewall!! 

fail2ban não está mais sendo "eficiente" porque esses pulhas estão 
fazendo um "slow scan" (na realidade, "slow attempt") nas redes,. 
Antigamente eles despejavam 120 chamadas por vez. Testavam todos os 
códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma 
vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativas 
por HORA, quando não fazem apenas quatro por hora, ao longo das 24 
horas do dia. Eles tem todo o tempo da vida, porque quando conseguirem 
descobrir um buraco no seu dialplan, vão entupir de chamadas para 
países árabes e da África. 

Assim, não dá mais para confiar APENAS no fail2ban - é um método 
ultrapassado de proteção. 

Não sei qual é a sua utilização do servidor (provedor? usuário? 
corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan. 

A ligação teste é *SEMPRE* feita para alguns telefones: um celular em 
Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra). 

NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia - 
geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do 
servidor que efetivamente enviará as chamadas. Aqui (por ser 
corporativo hospedado em datacenter) eu decidi bloquear geralmente o 
/8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco 
livre. 

Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no 
dialplan e... monitorar a rede. 

Procure uma mensagem aqui na lista com o mesmo problema há alguns 
meses. Um colega da lista foi "invadido" por esses pulhas e quem 
detectou foi a área de segurança da empresa de telefonia - mas só no 
dia seguinte da invasão... Ai o estrago já era grande demais. 

Conclusão: 
1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia 
logo o bloco (/16 ou /8) ou relaxa... 
2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a 
partir da rede externa; 
3) Olhe seu log com frequência - procure por chamadas para um celular 
em Israel (9725) ou Palestina (970); 
4) Crie um script para enviar todas as madrugadas o logo de todas as 
chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo 
que tardias, mas ajuda. 
_______________________________________________ 
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; 
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; 
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________ 
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. 
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. 
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. 
_______________________________________________ 
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 

_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130715/b0c3642c/attachment-0001.htm 