[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49

Guilherme Rezende asterisk em guilherme.eti.br
Quarta Julho 31 14:31:52 BRT 2013


Márcio, gerando uma discursão saudável sobre aspecto segurança:
     Trabalho a 13 anos c/ Linux e Firewall e a 4 c/ Asterisk.  Ja 
trabalhei e ainda faço algumas instalações(de vez em quando) de 
Fortinet, SonicWall e Linux/Iptables/Snort.
Bom, quando precisamos colocar uma máquina Asterisk exposta na Internet 
p/ que clientes externos possa se logar via SIP, a melhor alternativa é 
criando tuneis com OpenVPN usando TAP+SSL.  Porém nem sempre em virtudes 
de custo essa solução torna-se viável e precisamos expor nosso Asterisk 
na Internet, tanto diretamente c/ um IP Público ou conforme solução 
apresentada por vc abaixo.
     Eu, particulamente discordo de sua solução que postou abaixo e 
prefiro usar IP-Público no Asterisk.  Veja os motivos:

1 - No modelo que apresenta, seu Asterisk não fica livre de falhas ou 
Bugs no módulo SIP do Asterisk.  O protoco SIP/UDP na forma que 
apresenta abaixo fica exposto na mesma forma como seu Asterisk estivesse 
c/ IP-Público, além de poder gerar anomalias do NAT com SIP.  Se o SIP 
não estiver liberado externo ninguém externamente irá se logar no seu 
server correto? Um atacante pode facilmente fazer BruteForce em seu 
servidor no modelo abaixo como se o mesmo estivesse com IP-Publico.  Uma 
ferramenta p/ isso e que uso em laboratório é o sipvicious.    Não sei o 
porque, mas sempre quando sofro esses ataques, todos são oriundos de 
redes externas, ou seja, fora do Brasil.  Acho que até na lista todos os 
cologas apenas sofrem ataques de brute force externo também...

2 - Bom, passando da esfera de um filtro de pacotes, uma grande solução 
seria análise de cabeçalho/string de pacotes do SIP p/ identificar 
anomalia no mesmo e ai sim bloquear, como ja existe p/ HTTP, SMTP, 
etc...  Infelizmente nenhum dos firewalls proprietário que conheço não 
possui essa técnica.

3 - Bom, resumindo minhas colocações, eu monto meus projetos da seguinte 
forma:
     3.1 - Quando se torna necessário expor o Asterisk ao IP Público.  
"Eu possuo 4 clientes c/ esse modelo e nunca tive problemas. Porém 
tentativas foram várias"
             Internet <> Router <>  Asterisk
     3.2 - Se todos os ips públicos que irão se logar via SIP são fixos, 
libero no firewall(iptables) apenas esses IP´s p/ se logarem.
     3.3 - Caso não sei de onde esses IP´s virão, Libero a Range do BR 
conforme ja postei aqui e fecho todas as portas TCP, abrindo apenas as 
que irei usar como SSH, HTTP, etc..
     3.4 - Depois do filtro de pacotes, instale um IDS p/ analise de 
pacotes mal forjados em cima do seu Asterisk e um bom exemplo p/ isso é 
usar o SNORT c/ uma rule pronta Asterisk. 
http://blog.sipvicious.org/2008/02/detecting-sip-attacks-with-snort.html
     3.5 - Em 95% dos casos os ataques em cima do Asterisk são 
Brute-Force em cima do SIP p/ tentar se logar.  Dificilmente os ataques 
em cima do SIP são de Stack-Overflow p/ se conseguir um shell no sistema 
por falha do Asterisk.
     Enfim, são vários cenários e concordo com vc quando diz p/ evitar 
expor seu Asterisk c/ IP Público.  Devemos expor o mínimo.  Porém nem 
sempre é possível.......

Desculpa se fugi um pouco do escopo da lista que é Asterisk, mas creio 
que é um assunto de suma importância par telefonia IP.  Que é a seguança !!!



Em 31/07/2013 13:51, Marcio - Google escreveu:
> IP público no server?!?!?! My Good, alguém realmente faz uma sandice 
> dessas???
>
> Acho que vou desencarnar e não terei lido tudo ... rsrsrsrsrsr
>
> No mínimo, mas mínimo mesmo: Internet <> Router <> Firewall <> [NAT] 
> <> Asterisk
>
>
>
> [...]'s
>
> Marcio
>
> ========================================
> ########### Campanha Ajude o Marcio! ###########
> http://sosmarcio.blogspot.com.br/
> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
> ========================================
>
>
> Em 31 de julho de 2013 12:37, Danilo Almeida 
> <daniloricalmeida em gmail.com <mailto:daniloricalmeida em gmail.com>> escreveu:
>
>     surgiu uma dúvida referente a esses ataques, como sou inexperiente
>     nessa parte de redes, não sei como funciona essas tentativas...
>
>     como que eles descobrem o servidor na rede?
>     como conseguem fazer tantas tentativas de ataque simultaneamente?
>
>     se alguém puder me esclarecer um pouco sobre esse assunto eu
>     agradeço... até mesmo porque, precisamos conhecer as técnicas para
>     nos proteger.
>
>     Obrigado
>
>
>     Em 31 de julho de 2013 13:33, Guilherme Rezende
>     <asterisk em guilherme.eti.br <mailto:asterisk em guilherme.eti.br>>
>     escreveu:
>
>             Gente, eu não uso Fail2ban.   Como esses ataques são
>         oriundos de redes externas ao BR, fiz o bloqueio de todas as
>         redes cujam origem não são BR. E resolveu!!  Não tenho
>         problemas c/ ataques mais...  Os logs do meu Asterisk nunca
>         mais exibiram tentativa de logar via sip nos meus servidores. 
>         Veja o código abaixo que é bem simples, libero apenas as redes
>         que estão listadas, depois fecho tudo.  Se não tiver
>         necessidade de ter alguém externo que logue no seu servidor, o
>         código abaixo resolve.  Desative todas suas regras de
>         iptables, desative todos os firewall´s e rode o script abaixo.
>
>         #!/bin/bash
>         ipt=/sbin/iptables
>         $ipt -F
>         $ipt -A INPUT -i eth2 -s 172.16.5.0/24 <http://172.16.5.0/24>
>         -p udp -j ACCEPT
>         $ipt -A INPUT -i eth2 -s 186.0.0.0/8 <http://186.0.0.0/8> -p
>         udp -j ACCEPT
>         $ipt -A INPUT -i eth2 -s 187.0.0.0/8 <http://187.0.0.0/8> -p
>         udp -j ACCEPT
>         $ipt -A INPUT -i eth2 -s 177.0.0.0/8 <http://177.0.0.0/8> -p
>         udp -j ACCEPT
>         $ipt -A INPUT -i eth2 -s 179.0.0.0/8 <http://179.0.0.0/8> -p
>         udp -j ACCEPT
>         $ipt -A INPUT -i eth2 -s 189.0.0.0/8 <http://189.0.0.0/8> -p
>         udp -j ACCEPT
>         $ipt -A INPUT -i eth2 -s 198.50.96.130 <tel:198.50.96.130> -p
>         udp -j ACCEPT
>         $ipt -A INPUT -i eth2 -s 200.0.0.0/8 <http://200.0.0.0/8> -p
>         udp -j ACCEPT
>         $ipt -A INPUT -i eth2 -s 201.0.0.0/8 <http://201.0.0.0/8> -p
>         udp -j ACCEPT
>         $ipt -A INPUT -i eth2 -p udp -j DROP
>
>
>
>         Em 31/07/2013 13:12, Danilo Almeida escreveu:
>>         recebi várias tentativas neste final de semana, porém, o
>>         fail2ban bloqueiou.
>>
>>         DROP       all  -- 173.242.120.42 <tel:173.242.120.42>      
>>         anywhere
>>         Nome do Host: 	173.242.120.42 <tel:173.242.120.42>
>>         IP Address: 	173.242.120.42 <tel:173.242.120.42>
>>         País: 	United States
>>         <http://en.wikipedia.org/wiki/united%20states> united states
>>         Código do país: 	US (USA)
>>         Região: 	Pennsylvania
>>         <http://en.wikipedia.org/wiki/Pennsylvania>
>>         Cidade: 	Clarks Summit
>>         Código postal: 	18411
>>         Código tel.: 	+1
>>         <http://en.wikipedia.org/wiki/Area_code#United_States>
>>         Longitude: 	-75.728
>>         Latitude: 	41.4486
>>
>>
>>         [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration
>>         from '"shuang" <sip:shuang em IP-Servidor>' failed for
>>         '173.242.120.42:5061 <http://173.242.120.42:5061>' - Wrong
>>         password
>>
>>         [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration
>>         from '"chu" <sip:chu em IP-servidor>' failed for
>>         '173.242.120.42:5081 <http://173.242.120.42:5081>' - Wrong
>>         password
>>
>>         [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration
>>         from '"chu" <sip:chu em IP-servidor>' failed for
>>         '173.242.120.42:5081 <http://173.242.120.42:5081>' - Wrong
>>         password
>>
>>         [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration
>>         from '"chu" <sip:chu em IP-servido>' failed for
>>         '173.242.120.42:5081 <http://173.242.120.42:5081>' - Wrong
>>         password
>>
>>         se observarem, eu bloqueio as tentativas por 24 horas, sendo
>>         assim, o invasor permanecia tentando no dia seguinte, agora
>>         dei um BAN permanente nele... rsrs
>>
>>
>>         Em 31 de julho de 2013 12:50, Thiago Anselmo
>>         <thiagoo.anselmoo em gmail.com
>>         <mailto:thiagoo.anselmoo em gmail.com>> escreveu:
>>
>>             Amigo,
>>
>>             Já teve outro amigo aqui da lista que teve o mesmo
>>             problema, e o mesmo o fail2ban não pegou, pois eles não
>>             atacam penas 5060, existe outras fomras!!
>>
>>             Como está ligado seu PABX? Está atrás de NAT ou
>>             diretamente um IP público ligado a ele?
>>
>>             me diga que podemos realizar formas de fazer com o
>>             IPTABLES!! E fica bom!!!
>>             Bloqueia tudo e libera apenas para quem você deseja!
>>
>>
>>             Em 31 de julho de 2013 12:40, Marcio - Google
>>             <marciorp em gmail.com <mailto:marciorp em gmail.com>> escreveu:
>>
>>                 Exatamente o que o Hudson disse ...
>>                 Falha no dimensionamento e configuração.
>>
>>
>>                 [...]'s
>>
>>                 Marcio
>>
>>                 ========================================
>>                 ########### Campanha Ajude o Marcio! ###########
>>                 http://sosmarcio.blogspot.com.br/
>>                 http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
>>                 ========================================
>>
>>
>>                 Em 31 de julho de 2013 11:06, Hudson Cardoso
>>                 <hudsoncardoso em hotmail.com
>>                 <mailto:hudsoncardoso em hotmail.com>> escreveu:
>>
>>                        O Fail2ban não pegou, porque ele ja conseguiu
>>                     passar, isso significa que o teu firewall não
>>                     está corretamente
>>                     dimensionado, e/ou configurado.
>>                       No meu se fizer 3 tentativas, bloqueia por 15
>>                     minutos, e quando um guest pede acesso ao
>>                     diaplan, simplesmente
>>                     dou HangUp em todos os Guest.
>>
>>
>>                     Hudson
>>                     (048) 8413-7000  <tel:%28048%29%208413-7000>
>>                     Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>
>>
>>
>>                     > From: caiopato em gmail.com
>>                     <mailto:caiopato em gmail.com>
>>                     > Date: Wed, 31 Jul 2013 11:47:25 -0300
>>                     > To: asteriskbrasil em listas.asteriskbrasil.org
>>                     <mailto:asteriskbrasil em listas.asteriskbrasil.org>
>>                     > Subject: [AsteriskBrasil] Ataque massivo a
>>                     partir do IP 67.207.137.49 <tel:67.207.137.49>
>>
>>                     >
>>                     > Eu estava sendo vítima de uma tentativa de
>>                     ataque a partir do IP
>>                     > 67.207.137.49 <tel:67.207.137.49> (Rackspace
>>                     Cloud Servers),
>>                     > Foram 3548 tentativas em 10 minutos até ser
>>                     bloqueado manualmente no iptables.
>>                     > Não investiguei a fundo o método do ataque, mas
>>                     basicamente ele estava
>>                     > tentando cavar uma falha no dialplan.
>>                     >
>>                     > No console apareceu:
>>                     > Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903
>>                     get_destination: Huh?
>>                     > Not a SIP header (tel:1900442075005000)?
>>                     > ...
>>                     > Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903
>>                     get_destination: Huh?
>>                     > Not a SIP header (tel:2440900442075005000)?
>>                     >
>>                     > Note que o atacando manteve o sufixo e alterava
>>                     só o prefixo (19, 29,
>>                     > 39, .... até chegar no 24409 quando eu bloqueei
>>                     via iptables.
>>                     >
>>                     > Esse tipo de ataque NÃO É identificado pelo
>>                     fail2ban pois não há logs gerados.
>>                     >
>>                     > O telefone 00442075005000 pertence a um banco
>>                     (Citi) em Londres. Pode
>>                     > ser apenas um número teste - se o atacante
>>                     receber "CONNECT", a
>>                     > tentativa foi bem sucedida e ele descarrega um
>>                     caminhão de chamadas
>>                     > para outros destinos.
>>                     >
>>                     > Então vale o eterno conselho: fique de olho -
>>                     não confie só no fail2ban.
>>                     > _______________________________________________
>>                     > KHOMP: completa linha de placas externas FXO,
>>                     FXS, GSM e E1;
>>                     > Media Gateways de 1 a 64 E1s para SIP com R2,
>>                     ISDN e SS7;
>>                     > Intercomunicadores para acesso remoto via rede
>>                     IP. Conheça em www.Khomp.com <http://www.Khomp.com>.
>>                     > _______________________________________________
>>                     > ALIGERA -- Fabricante nacional de Gateways
>>                     SIP-E1 para R2, ISDN e SS7.
>>                     > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI
>>                     Express.
>>                     > Channel Bank -- Appliance Asterisk - Acesse
>>                     www.aligera.com.br <http://www.aligera.com.br>.
>>                     > _______________________________________________
>>                     > Para remover seu email desta lista, basta
>>                     enviar um email em branco para
>>                     asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>                     <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>                     _______________________________________________
>>                     KHOMP: completa linha de placas externas FXO,
>>                     FXS, GSM e E1;
>>                     Media Gateways de 1 a 64 E1s para SIP com R2,
>>                     ISDN e SS7;
>>                     Intercomunicadores para acesso remoto via rede
>>                     IP. Conheça em www.Khomp.com <http://www.Khomp.com>.
>>                     _______________________________________________
>>                     ALIGERA -- Fabricante nacional de Gateways SIP-E1
>>                     para R2, ISDN e SS7.
>>                     Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI
>>                     Express.
>>                     Channel Bank -- Appliance Asterisk - Acesse
>>                     www.aligera.com.br <http://www.aligera.com.br>.
>>                     _______________________________________________
>>                     Para remover seu email desta lista, basta enviar
>>                     um email em branco para
>>                     asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>                     <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>>
>>                 _______________________________________________
>>                 KHOMP: completa linha de placas externas FXO, FXS,
>>                 GSM e E1;
>>                 Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>                 Intercomunicadores para acesso remoto via rede IP.
>>                 Conheça em www.Khomp.com <http://www.Khomp.com>.
>>                 _______________________________________________
>>                 ALIGERA -- Fabricante nacional de Gateways SIP-E1
>>                 para R2, ISDN e SS7.
>>                 Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>                 Channel Bank -- Appliance Asterisk - Acesse
>>                 www.aligera.com.br <http://www.aligera.com.br>.
>>                 _______________________________________________
>>                 Para remover seu email desta lista, basta enviar um
>>                 email em branco para
>>                 asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>                 <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>>
>>
>>             -- 
>>             Thiago Anselmo
>>
>>             _______________________________________________
>>             KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>             Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>             Intercomunicadores para acesso remoto via rede IP.
>>             Conheça em www.Khomp.com <http://www.Khomp.com>.
>>             _______________________________________________
>>             ALIGERA -- Fabricante nacional de Gateways SIP-E1 para
>>             R2, ISDN e SS7.
>>             Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>             Channel Bank -- Appliance Asterisk - Acesse
>>             www.aligera.com.br <http://www.aligera.com.br>.
>>             _______________________________________________
>>             Para remover seu email desta lista, basta enviar um email
>>             em branco para
>>             asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>             <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>>
>>
>>         -- 
>>         *att*
>>         *Danilo Almeida*
>>
>>
>>         _______________________________________________
>>         KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>         Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>         Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com  <http://www.Khomp.com>.
>>         _______________________________________________
>>         ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>         Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>         Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br  <http://www.aligera.com.br>.
>>         _______________________________________________
>>         Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org  <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>         _______________________________________________
>         KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>         Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>         Intercomunicadores para acesso remoto via rede IP. Conheça em
>         www.Khomp.com <http://www.Khomp.com>.
>         _______________________________________________
>         ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
>         ISDN e SS7.
>         Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>         Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
>         <http://www.aligera.com.br>.
>         _______________________________________________
>         Para remover seu email desta lista, basta enviar um email em
>         branco para
>         asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>         <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
>     -- 
>     *att*
>     *Danilo Almeida*
>
>     _______________________________________________
>     KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>     Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>     Intercomunicadores para acesso remoto via rede IP. Conheça em
>     www.Khomp.com <http://www.Khomp.com>.
>     _______________________________________________
>     ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>     Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>     Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
>     <http://www.aligera.com.br>.
>     _______________________________________________
>     Para remover seu email desta lista, basta enviar um email em
>     branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>     <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130731/3eae7d2f/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil