[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Guilherme Rezende
asterisk em guilherme.eti.br
Quarta Julho 31 18:25:05 BRT 2013
Importantíssimas dicas Keller! Ja tenho algo a mais a implementar em
meus servers com Asterisk a partir de agora..
Mas Márcio e keller.
Quando citei as dicas, citei de forma que atenda ambientes de pequeno
porte. Por exemplo, tenho um cliente c/ 1E1 e 30 ramais SIP internos e
mais 26 externos(logando na central oriundo da Internet).
Eu jamais colocaria uma central de médio porte com IP-Publico. Se fosse
necessário, colocaria um outro Asterisk c/ IP-Publico entroncado com o
Asterisk principal via IAX, ISDN, sei la................
Mas imprecionante como ataques em cima de sessões SIP derruba um
servidor. Incrivelmente.... Ataques em cima de SSH, Apache nunca
derrubaram meus servers, apenas em cima de Asterisk.
Mas Márcio e Keller, me considero um sysadmin mediano em Asterisk,
bem longe da experiência de vc´s, porém em Security tenho uma boa
experiência e podemos disuctir isso em PVT.
Quanto ao Márcio desabafar aqui na Lista(rsrsrrsrs), eu concordo
plenamente c/ suas considerações. Pessoal da lista, vamos criar um
segundo nível de tira-dúvidas aqui !!! Tem coisas que sujeito pergunta
ja tendo a resposta na própria lista!! Ou uma pequena pesquisa terá a
resposta! Meu Deus!!
Em 31/07/2013 15:47, Alexandre Keller escreveu:
> Boa tarde Senhores.
>
> Deixe-me dar um pitaco nas questões de segurança.
>
> Além, é claro e óbvio, das questões associadas a rede, deve-se também
> tomar muito cuidado com os parâmetros SIP e como o seu plano de
> discagem foi construído.
>
> A seguir, algumas dicas, que passo no treinamento avançado de Asterisk
> que ministro.
>
> Espero que seja de alguma ajuda:
>
> *Parâmetros associados a segurança do Servidor Asterisk, protocolo SIP. *
>
> ?*allowguest:* permite (yes) ou não (no) a conexão sem autenticação.
> Certos equipamentos SIP não suportam autenticação, assim é necessário
> desabilitar este parâmetro. Deve ser setado na seção general do
> protocolo SIP.
>
> *? alwaysauthreject:*quando habilitado (yes) faz com que o Asterisk
> rejeite as requisições de autenticação inválidas para usuários
> válidos, com as mesmas informações dos usuários inválidos; evitando
> assim que ataques de força-bruta identifiquem quais extensões são
> válidas ou não. Deve ser setado na seção general do protocolo SIP.
>
> ?*permit/deny:* limita a conexão a um endereço IP ou faixa de
> endereços IP. Para bloquear qualquer conexão deve-se utilizar
> *deny=0.0.0.0/0.0.0.0*e então permitir (permit) somente o IP desejado.**
>
> deny = 0.0.0.0/0.0.0.0
>
> permit = 192.168.250.10/255.255.255.255
>
> ?*contactpermit/contactdeny:* limita o registro a um endereço IP ou
> faixa de endereços IP. Utilização é semelhante aos parâmetros
> permit/deny.**
>
> contactdeny = 0.0.0.0/0.0.0.0
>
> contactpermit = 192.168.250.10/255.255.255.255
>
> ?*md5secret:* permite o armazenamento da senha de autenticação SIP em
> hash MD5, e não em texto puro, como é o padrão no parâmetro secret.
> Para gerar o hash MD5 adequado para cada cliente utilize a seguinte
> sintaxe:
>
> Sintaxe:
>
> echo -n "username:realm:secret" | md5sum
>
> Exemplo:
>
> echo -n "9001:asterisk:senha01" | md5sum
>
> cd69374645f11ccfcb8d53bd2f81253c -
>
> Utilize o valor *cd69374645f11ccfcb8d53bd2f81253c* no parâmetro md5secret.
>
>
> *Vulnerabilidades associadas ao Plano de Discagem*
>
> -- Não utilize o contexto [default], pois é o contexto padrão do
> Asterisk, ou seja, caso o Asterisk não encontre um contexto associado
> a uma conta, automaticamente processará a chamada no contexto
> [default]. Como sugestão crie-o da seguinte maneira:
>
> [default]
>
> exten => _.,1,HangUP
>
> -- A utilização da máscara de discagem .(ponto) ou !(exclamação),
> permite o que é comumente chamado de "dialplan injection", ou seja, a
> inserção de caracteres a serem processados além dos desejados, como no
> exemplo na regra exten=>_X.,1,Dial(SIP/${EXTEN},30,tT), onde o uso do
> .(ponto) aceita qualquer caractere, numérico ou não. Imagine então se
> fosse enviada a seguinte sequência de caracteres para ser processada
> 1234&SIP/provedor/551135228446, o Asterisk processaria a chamada e
> executaria Dial(SIP/1234&SIP/provedor/551135228446,30,tT), ou seja,
> uma discagem bastante indevida. Existem duas formas indicadas para
> evitar esta ocorrência:
>
> ? Não utilizar as máscaras .(ponto) ou !(exclamação).**
>
> ? Utilizar a função FILTER(), para filtrar apenas os caracteres
> numéricos, como no exemplo a seguir:
>
> [meucontexto]
>
> exten => _X.,1,Set(SAFE_EXTEN=${FILTER(0-9,${EXTEN})})
>
> same => n,Dial(SIP/${SAFE_EXTEN},30,tT)
>
> -- Sempre especifique um limite para a quantidade de chamadas iniciada
> por cada cliente. Pode-se utilizar as funções GROUP()
> eGROUP_COUNT()para tal função dentro do plano de discagem, como no
> exemplo a seguir:
>
> [meucontexto]
>
> exten => _X.,1,Set(GROUP(users)=${CHANNEL(peername)})
>
> same => n,NoOp(Existem ${GROUP_COUNT(${CHANNEL(peername)})} chamadas
> para a conta ${CHANNEL(peername)}.)
>
> same => n,GotoIf($[${GROUP_COUNT(${CHANNEL(peername)})} >
> 2]?proibido:continue)
>
> same => n(proibido),NoOp(Limite de chamadas alcançado.)
> same => n,HangUp()
> same => n(continue),NoOp(Continue o processamento normal do plano de
> discagem.)
>
> same => n,Set(SAFE_EXTEN=${FILTER(0-9,${EXTEN})})
>
> same => n,Dial(SIP/${SAFE_EXTEN},30,tT)
>
> --
> Atenciosamente,
>
> ALEXANDRE KELLER
>
> http://twitter.com/alexandrekeller
> http://www.facebook.com/alexandre.keller.BR
>
> "Dinheiro é a consequência de um trabalho bem feito e não o
> motivo para se fazer um bom trabalho."
>
> P Antes de imprimir pense em seu compromisso com o Meio Ambiente.
>
> On 31/07/2013, at 15:23, Marcio - Google <marciorp em gmail.com
> <mailto:marciorp em gmail.com>> wrote:
>
>> Guilherme, concordo com a sua colocação final. Segurança é de suma
>> importância para telefonia IP! Complemente dizendo que a maioria nem
>> sabe o que é isso!
>>
>> O exemplo foi minimalista, e só para demonstrar a necessidade de um
>> "firewall" entre a rede externa e os serviços.
>>
>> O grande problema é que a maioria mal sabe usar linux, não tem noção
>> dos conceitos básicos de rede e pioro de segurança. Ai pega meia
>> dúzia de receita de bolo na net e sai vendendo serviço, quando dá
>> alguma "zica" a culpa é da tecnologia!
>>
>> Quanto ao item 3.1, nunca fiz e me recusaria a fazer, pelo simples
>> fato que qualquer empresa que queria isso tem que ter grana para
>> pagar. Um dos principais erros do mundo "software livre",
>> principalmente no Brasil, é a ideia de que o Linux/Asterisk são de
>> graça, então as soluções tem que ser baratas se não de graça.
>>
>> Falando dos itens 3.2 e 3.3, é uma segurança a mais. Porém não é
>> 100%, pode ser contornado, principalmente por algum ex-funcionário
>> que tenha saído magoado da empresa e conheça a estrutura. Muitas
>> vezes ele próprio não faz, mas passas as informações para alguém fazer.
>>
>> Uso o item 3.4, com alguns detalhes a mais.
>>
>> Pois é, chegamos ao item 3.5, e nesse caso se for um ataque de
>> pequeno porte pra cima, a não ser que você tenha um appliance bem
>> dimensionado, as chances de algum problema são bem grandes. Por
>> problemas não entendo apenas conseguir fazer ligações, mas a própria
>> indisponibilidade do sistema ou queda do serviço é um problema.
>>
>> Estrutura minima detalhada: Internet <> Router <> Firewall
>> Generalista / Serviços / Aplicações / Pacotes *1 <> IDS <> [Proxy
>> SIP] <> Asterisk
>> *1 - Normalmente um appliance, pode ser dividido em mais de um hardware.
>>
>> Não to considerando ai DMZ, a parte isolada para os serviços que não
>> são expostos e etc.
>>
>> Se o individuo passar pelo Firewall, dificilmente ele passa pelo IDS.
>> Se ainda assim passar pelo IDS, o Asterisk pode avisar o IDS de
>> tentativas de conexão mal-sucedidas, e esse por usa vez vai aumentar
>> o rigor. O IDS também conversa com o Firewall, e esse por sua vez com
>> o Router, que em ultima instancia isola determinadas rotas até a ação
>> de um sysadmin.
>>
>> O problema é que a maioria não tem a menor noção disso, baixa a ISO
>> de uma distro Linux qualquer, instala de qualquer jeito e normalmente
>> mais pacotes que o necessário, baixa o Asterisk, usa uma receita de
>> bolo para instalar e sobe ele como *root* mesmo. Dai pega um script
>> de iptables pronto, que nem ao menos intende direito o que faz, e
>> quando muito instala o Fail2Ban, com receita de bolo também, e acha
>> que é o supra sumo do universo em Linux, Segurança, Redes, Asterisk e
>> tudo mais. Tá feito a lambança.
>>
>> Na primeira *zica* que acontece, fica desesperado, não sabe nem os
>> logs que tem e muito menos como usa-los, e vem pedir socorro na
>> lista. E não estou falando só sobre a questão de segurança mesmo.
>>
>> É só prestar atenção nas "dúvidas" que são postadas, chega ser
>> triste! Chega ao cumulo do cara postar a dúvida com um fragmento de
>> log com a mensagem explicando o problema!
>>
>> É só olhar a quantidade de gente cadastrada na lista, muitos antigos,
>> que nem respondem mais. Dá desanimo!
>>
>> Eu mesmo só voltei a ativa pra passar o tempo, e quando surge uma
>> dúvida de alguém que realmente demonstra ter interesse, tento ajudar.
>>
>> É isso, desculpe misturar a resposta a esse desabafo!
>>
>>
>>
>>
>>
>> [...]'s
>>
>> Marcio
>>
>> ========================================
>> ########### Campanha Ajude o Marcio! ###########
>> http://sosmarcio.blogspot.com.br/
>> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
>> ========================================
>>
>>
>> Em 31 de julho de 2013 13:31, Guilherme Rezende
>> <asterisk em guilherme.eti.br <mailto:asterisk em guilherme.eti.br>> escreveu:
>>
>> Márcio, gerando uma discursão saudável sobre aspecto segurança:
>> Trabalho a 13 anos c/ Linux e Firewall e a 4 c/ Asterisk. Ja
>> trabalhei e ainda faço algumas instalações(de vez em quando) de
>> Fortinet, SonicWall e Linux/Iptables/Snort.
>> Bom, quando precisamos colocar uma máquina Asterisk exposta na
>> Internet p/ que clientes externos possa se logar via SIP, a
>> melhor alternativa é criando tuneis com OpenVPN usando TAP+SSL.
>> Porém nem sempre em virtudes de custo essa solução torna-se
>> viável e precisamos expor nosso Asterisk na Internet, tanto
>> diretamente c/ um IP Público ou conforme solução apresentada por
>> vc abaixo.
>> Eu, particulamente discordo de sua solução que postou abaixo
>> e prefiro usar IP-Público no Asterisk. Veja os motivos:
>>
>> 1 - No modelo que apresenta, seu Asterisk não fica livre de
>> falhas ou Bugs no módulo SIP do Asterisk. O protoco SIP/UDP na
>> forma que apresenta abaixo fica exposto na mesma forma como seu
>> Asterisk estivesse c/ IP-Público, além de poder gerar anomalias
>> do NAT com SIP. Se o SIP não estiver liberado externo ninguém
>> externamente irá se logar no seu server correto? Um atacante pode
>> facilmente fazer BruteForce em seu servidor no modelo abaixo como
>> se o mesmo estivesse com IP-Publico. Uma ferramenta p/ isso e
>> que uso em laboratório é o sipvicious. Não sei o porque, mas
>> sempre quando sofro esses ataques, todos são oriundos de redes
>> externas, ou seja, fora do Brasil. Acho que até na lista todos
>> os cologas apenas sofrem ataques de brute force externo também...
>>
>> 2 - Bom, passando da esfera de um filtro de pacotes, uma grande
>> solução seria análise de cabeçalho/string de pacotes do SIP p/
>> identificar anomalia no mesmo e ai sim bloquear, como ja existe
>> p/ HTTP, SMTP, etc... Infelizmente nenhum dos firewalls
>> proprietário que conheço não possui essa técnica.
>>
>> 3 - Bom, resumindo minhas colocações, eu monto meus projetos da
>> seguinte forma:
>> 3.1 - Quando se torna necessário expor o Asterisk ao IP
>> Público. "Eu possuo 4 clientes c/ esse modelo e nunca tive
>> problemas. Porém tentativas foram várias"
>> Internet <> Router <> Asterisk
>> 3.2 - Se todos os ips públicos que irão se logar via SIP são
>> fixos, libero no firewall(iptables) apenas esses IP´s p/ se logarem.
>> 3.3 - Caso não sei de onde esses IP´s virão, Libero a Range
>> do BR conforme ja postei aqui e fecho todas as portas TCP,
>> abrindo apenas as que irei usar como SSH, HTTP, etc..
>> 3.4 - Depois do filtro de pacotes, instale um IDS p/ analise
>> de pacotes mal forjados em cima do seu Asterisk e um bom exemplo
>> p/ isso é usar o SNORT c/ uma rule pronta Asterisk.
>> http://blog.sipvicious.org/2008/02/detecting-sip-attacks-with-snort.html
>> 3.5 - Em 95% dos casos os ataques em cima do Asterisk são
>> Brute-Force em cima do SIP p/ tentar se logar. Dificilmente os
>> ataques em cima do SIP são de Stack-Overflow p/ se conseguir um
>> shell no sistema por falha do Asterisk.
>> Enfim, são vários cenários e concordo com vc quando diz p/
>> evitar expor seu Asterisk c/ IP Público. Devemos expor o
>> mínimo. Porém nem sempre é possível.......
>>
>> Desculpa se fugi um pouco do escopo da lista que é Asterisk, mas
>> creio que é um assunto de suma importância par telefonia IP. Que
>> é a seguança !!!
>>
>>
>>
>> Em 31/07/2013 13:51, Marcio - Google escreveu:
>>> IP público no server?!?!?! My Good, alguém realmente faz uma
>>> sandice dessas???
>>>
>>> Acho que vou desencarnar e não terei lido tudo ... rsrsrsrsrsr
>>>
>>> No mínimo, mas mínimo mesmo: Internet <> Router <> Firewall <>
>>> [NAT] <> Asterisk
>>>
>>>
>>>
>>> [...]'s
>>>
>>> Marcio
>>>
>>> ========================================
>>> ########### Campanha Ajude o Marcio! ###########
>>> http://sosmarcio.blogspot.com.br/
>>> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
>>> ========================================
>>>
>>>
>>> Em 31 de julho de 2013 12:37, Danilo Almeida
>>> <daniloricalmeida em gmail.com <mailto:daniloricalmeida em gmail.com>>
>>> escreveu:
>>>
>>> surgiu uma dúvida referente a esses ataques, como sou
>>> inexperiente nessa parte de redes, não sei como funciona
>>> essas tentativas...
>>>
>>> como que eles descobrem o servidor na rede?
>>> como conseguem fazer tantas tentativas de ataque
>>> simultaneamente?
>>>
>>> se alguém puder me esclarecer um pouco sobre esse assunto eu
>>> agradeço... até mesmo porque, precisamos conhecer as
>>> técnicas para nos proteger.
>>>
>>> Obrigado
>>>
>>>
>>> Em 31 de julho de 2013 13:33, Guilherme Rezende
>>> <asterisk em guilherme.eti.br
>>> <mailto:asterisk em guilherme.eti.br>> escreveu:
>>>
>>> Gente, eu não uso Fail2ban. Como esses ataques são
>>> oriundos de redes externas ao BR, fiz o bloqueio de
>>> todas as redes cujam origem não são BR. E resolveu!!
>>> Não tenho problemas c/ ataques mais... Os logs do meu
>>> Asterisk nunca mais exibiram tentativa de logar via sip
>>> nos meus servidores. Veja o código abaixo que é bem
>>> simples, libero apenas as redes que estão listadas,
>>> depois fecho tudo. Se não tiver necessidade de ter
>>> alguém externo que logue no seu servidor, o código
>>> abaixo resolve. Desative todas suas regras de iptables,
>>> desative todos os firewall´s e rode o script abaixo.
>>>
>>> #!/bin/bash
>>> ipt=/sbin/iptables
>>> $ipt -F
>>> $ipt -A INPUT -i eth2 -s 172.16.5.0/24
>>> <http://172.16.5.0/24> -p udp -j ACCEPT
>>> $ipt -A INPUT -i eth2 -s 186.0.0.0/8
>>> <http://186.0.0.0/8> -p udp -j ACCEPT
>>> $ipt -A INPUT -i eth2 -s 187.0.0.0/8
>>> <http://187.0.0.0/8> -p udp -j ACCEPT
>>> $ipt -A INPUT -i eth2 -s 177.0.0.0/8
>>> <http://177.0.0.0/8> -p udp -j ACCEPT
>>> $ipt -A INPUT -i eth2 -s 179.0.0.0/8
>>> <http://179.0.0.0/8> -p udp -j ACCEPT
>>> $ipt -A INPUT -i eth2 -s 189.0.0.0/8
>>> <http://189.0.0.0/8> -p udp -j ACCEPT
>>> $ipt -A INPUT -i eth2 -s 198.50.96.130
>>> <tel:198.50.96.130> -p udp -j ACCEPT
>>> $ipt -A INPUT -i eth2 -s 200.0.0.0/8
>>> <http://200.0.0.0/8> -p udp -j ACCEPT
>>> $ipt -A INPUT -i eth2 -s 201.0.0.0/8
>>> <http://201.0.0.0/8> -p udp -j ACCEPT
>>> $ipt -A INPUT -i eth2 -p udp -j DROP
>>>
>>>
>>>
>>> Em 31/07/2013 13:12, Danilo Almeida escreveu:
>>>> recebi várias tentativas neste final de semana, porém,
>>>> o fail2ban bloqueiou.
>>>>
>>>> DROP all -- 173.242.120.42
>>>> <tel:173.242.120.42> anywhere
>>>> Nome do Host: 173.242.120.42 <tel:173.242.120.42>
>>>> IP Address: 173.242.120.42 <tel:173.242.120.42>
>>>> País: United States
>>>> <http://en.wikipedia.org/wiki/united%20states> united
>>>> states
>>>> Código do país: US (USA)
>>>> Região: Pennsylvania
>>>> <http://en.wikipedia.org/wiki/Pennsylvania>
>>>> Cidade: Clarks Summit
>>>> Código postal: 18411
>>>> Código tel.: +1
>>>> <http://en.wikipedia.org/wiki/Area_code#United_States>
>>>> Longitude: -75.728
>>>> Latitude: 41.4486
>>>>
>>>>
>>>> [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c:
>>>> Registration from '"shuang" <sip:shuang em IP-Servidor>'
>>>> failed for '173.242.120.42:5061
>>>> <http://173.242.120.42:5061/>' - Wrong password
>>>>
>>>> [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c:
>>>> Registration from '"chu" <sip:chu em IP-servidor>' failed
>>>> for '173.242.120.42:5081 <http://173.242.120.42:5081/>'
>>>> - Wrong password
>>>>
>>>> [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c:
>>>> Registration from '"chu" <sip:chu em IP-servidor>' failed
>>>> for '173.242.120.42:5081 <http://173.242.120.42:5081/>'
>>>> - Wrong password
>>>>
>>>> [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c:
>>>> Registration from '"chu" <sip:chu em IP-servido>' failed
>>>> for '173.242.120.42:5081 <http://173.242.120.42:5081/>'
>>>> - Wrong password
>>>>
>>>> se observarem, eu bloqueio as tentativas por 24 horas,
>>>> sendo assim, o invasor permanecia tentando no dia
>>>> seguinte, agora dei um BAN permanente nele... rsrs
>>>>
>>>>
>>>> Em 31 de julho de 2013 12:50, Thiago Anselmo
>>>> <thiagoo.anselmoo em gmail.com
>>>> <mailto:thiagoo.anselmoo em gmail.com>> escreveu:
>>>>
>>>> Amigo,
>>>>
>>>> Já teve outro amigo aqui da lista que teve o mesmo
>>>> problema, e o mesmo o fail2ban não pegou, pois eles
>>>> não atacam penas 5060, existe outras fomras!!
>>>>
>>>> Como está ligado seu PABX? Está atrás de NAT ou
>>>> diretamente um IP público ligado a ele?
>>>>
>>>> me diga que podemos realizar formas de fazer com o
>>>> IPTABLES!! E fica bom!!!
>>>> Bloqueia tudo e libera apenas para quem você deseja!
>>>>
>>>>
>>>> Em 31 de julho de 2013 12:40, Marcio - Google
>>>> <marciorp em gmail.com <mailto:marciorp em gmail.com>>
>>>> escreveu:
>>>>
>>>> Exatamente o que o Hudson disse ...
>>>> Falha no dimensionamento e configuração.
>>>>
>>>>
>>>> [...]'s
>>>>
>>>> Marcio
>>>>
>>>> ========================================
>>>> ########### Campanha Ajude o Marcio! ###########
>>>> http://sosmarcio.blogspot.com.br/
>>>> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
>>>> ========================================
>>>>
>>>>
>>>> Em 31 de julho de 2013 11:06, Hudson Cardoso
>>>> <hudsoncardoso em hotmail.com
>>>> <mailto:hudsoncardoso em hotmail.com>> escreveu:
>>>>
>>>> O Fail2ban não pegou, porque ele ja
>>>> conseguiu passar, isso significa que o teu
>>>> firewall não está corretamente
>>>> dimensionado, e/ou configurado.
>>>> No meu se fizer 3 tentativas, bloqueia
>>>> por 15 minutos, e quando um guest pede
>>>> acesso ao diaplan, simplesmente
>>>> dou HangUp em todos os Guest.
>>>>
>>>>
>>>> Hudson
>>>> (048) 8413-7000 <tel:%28048%29%208413-7000>
>>>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>>>
>>>>
>>>>
>>>> > From: caiopato em gmail.com
>>>> <mailto:caiopato em gmail.com>
>>>> > Date: Wed, 31 Jul 2013 11:47:25 -0300
>>>> > To:
>>>> asteriskbrasil em listas.asteriskbrasil.org
>>>> <mailto:asteriskbrasil em listas.asteriskbrasil.org>
>>>> > Subject: [AsteriskBrasil] Ataque massivo
>>>> a partir do IP 67.207.137.49
>>>> <tel:67.207.137.49>
>>>>
>>>> >
>>>> > Eu estava sendo vítima de uma tentativa
>>>> de ataque a partir do IP
>>>> > 67.207.137.49 <tel:67.207.137.49>
>>>> (Rackspace Cloud Servers),
>>>> > Foram 3548 tentativas em 10 minutos até
>>>> ser bloqueado manualmente no iptables.
>>>> > Não investiguei a fundo o método do
>>>> ataque, mas basicamente ele estava
>>>> > tentando cavar uma falha no dialplan.
>>>> >
>>>> > No console apareceu:
>>>> > Jul 31 09:53:58 WARNING[18816]:
>>>> chan_sip.c:6903 get_destination: Huh?
>>>> > Not a SIP header (tel:1900442075005000)?
>>>> > ...
>>>> > Jul 31 10:04:37 WARNING[18816]:
>>>> chan_sip.c:6903 get_destination: Huh?
>>>> > Not a SIP header (tel:2440900442075005000)?
>>>> >
>>>> > Note que o atacando manteve o sufixo e
>>>> alterava só o prefixo (19, 29,
>>>> > 39, .... até chegar no 24409 quando eu
>>>> bloqueei via iptables.
>>>> >
>>>> > Esse tipo de ataque NÃO É identificado
>>>> pelo fail2ban pois não há logs gerados.
>>>> >
>>>> > O telefone 00442075005000 pertence a um
>>>> banco (Citi) em Londres. Pode
>>>> > ser apenas um número teste - se o
>>>> atacante receber "CONNECT", a
>>>> > tentativa foi bem sucedida e ele
>>>> descarrega um caminhão de chamadas
>>>> > para outros destinos.
>>>> >
>>>> > Então vale o eterno conselho: fique de
>>>> olho - não confie só no fail2ban.
>>>> >
>>>> _______________________________________________
>>>> > KHOMP: completa linha de placas externas
>>>> FXO, FXS, GSM e E1;
>>>> > Media Gateways de 1 a 64 E1s para SIP com
>>>> R2, ISDN e SS7;
>>>> > Intercomunicadores para acesso remoto via
>>>> rede IP. Conheça em www.Khomp.com
>>>> <http://www.khomp.com/>.
>>>> >
>>>> _______________________________________________
>>>> > ALIGERA -- Fabricante nacional de
>>>> Gateways SIP-E1 para R2, ISDN e SS7.
>>>> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou
>>>> PCI Express.
>>>> > Channel Bank -- Appliance Asterisk -
>>>> Acesse www.aligera.com.br
>>>> <http://www.aligera.com.br/>.
>>>> >
>>>> _______________________________________________
>>>> > Para remover seu email desta lista, basta
>>>> enviar um email em branco para
>>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas
>>>> FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com
>>>> R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via
>>>> rede IP. Conheça em www.Khomp.com
>>>> <http://www.khomp.com/>.
>>>> _______________________________________________
>>>> ALIGERA -- Fabricante nacional de Gateways
>>>> SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou
>>>> PCI Express.
>>>> Channel Bank -- Appliance Asterisk - Acesse
>>>> www.aligera.com.br
>>>> <http://www.aligera.com.br/>.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta
>>>> enviar um email em branco para
>>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO,
>>>> FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2,
>>>> ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede
>>>> IP. Conheça em www.Khomp.com
>>>> <http://www.khomp.com/>.
>>>> _______________________________________________
>>>> ALIGERA -- Fabricante nacional de Gateways
>>>> SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI
>>>> Express.
>>>> Channel Bank -- Appliance Asterisk - Acesse
>>>> www.aligera.com.br <http://www.aligera.com.br/>.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta
>>>> enviar um email em branco para
>>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> Thiago Anselmo
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS,
>>>> GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN
>>>> e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP.
>>>> Conheça em www.Khomp.com <http://www.khomp.com/>.
>>>> _______________________________________________
>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1
>>>> para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank -- Appliance Asterisk - Acesse
>>>> www.aligera.com.br <http://www.aligera.com.br/>.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um
>>>> email em branco para
>>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> *att*
>>>> *Danilo Almeida*
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com <http://www.khomp.com/>.
>>>> _______________________________________________
>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br <http://www.aligera.com.br/>.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP.
>>> Conheça em www.Khomp.com <http://www.khomp.com/>.
>>> _______________________________________________
>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para
>>> R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank -- Appliance Asterisk - Acesse
>>> www.aligera.com.br <http://www.aligera.com.br/>.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um
>>> email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>
>>>
>>>
>>>
>>> --
>>> *att*
>>> *Danilo Almeida*
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça
>>> em www.Khomp.com <http://www.khomp.com/>.
>>> _______________________________________________
>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
>>> ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank -- Appliance Asterisk - Acesse
>>> www.aligera.com.br <http://www.aligera.com.br/>.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em
>>> branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com <http://www.khomp.com/>.
>>> _______________________________________________
>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br <http://www.aligera.com.br/>.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com <http://www.khomp.com/>.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e
>> SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
>> <http://www.aligera.com.br/>.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em
>> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com <http://www.Khomp.com>.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
>> <http://www.aligera.com.br>.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco
>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130731/a12a2d4a/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil