[AsteriskBrasil] Tentativa de invasao

Terça Setembro 24 11:57:41 BRT 2013

Guilherme e outros amigos que tenha realmente a necessidade de ter um IP
válido no seu asterisk use o seguinte firewall...

#!/bin/bash

REDE_OPERADORA="X.X.X.X/32"
REDE_INTERNA="192.168.1.0/24"

IFLOOPBACK="lo"
IFWAN="eth0"
IFLAN="eth1"

# [ CRIA NOVAS CHAINS ]

iptables -N OPERADORA
iptables -N LAN

# [ LIMPA TABELAS E CHAINS ]

iptables -F
iptables -F OPERADORA
iptables -F LAN

# [ INSERIR CHAINS NAS TABELAS ]

iptables -A INPUT -j OPERADORA
iptables -A INPUT -j LAN

# [ MODIFICA POLITICAS DE ACESSO ]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#---------------------------- [ INICIO TABELA LAN ]
---------------------------#

# LIBERA LOOPBACK
iptables -A INPUT -i $IFLOOPBACK -j ACCEPT

#---------------------------- [ INICIO TABELA LAN ]
---------------------------#

# LIBERA REDE LOCAL
iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT

#---------------------------- [ INICIO TABELA OPERADORA ]
---------------------------#

# LIBERA CONSULTA DNS GOOGLE
iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT
iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT

# LIBERA ASTERISK OPERADORA
iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 -j
ACCEPT
iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 -j
ACCEPT

# LIBERA RTP OPERADORA
iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m multiport
--dport 10000:65535 -j ACCEPT
iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m multiport
--dport 10000:65535 -j ACCEPT

OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua
operadora e seu PABX utilizam para aumentar a segurança!

OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto
DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu
banco de dados mysql ou qualquer liberado para fora, não deixar a porta do
manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER
100% confiavel...  E Deixar um Range de IP´S apenas do BR liberado na minha
visão, é deixar um rombo no seu firewall!!

Bloquei tudo libere para quem tem acesso! Para ter um logo melhor procurem
na NET -j LOG ou se quiserem posso fazer um mais detalhado e com os logs de
portas etc... "CUIDADO com o log pois poderás ter problema dependendo a
ação tomada"

OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso algum
provedor utilize dominio ao invéis de IP.

OBS4: Criamos Subtabelas de entrada apenas para quesito de organização do
firewall e visualização melhor.. mais pode ser substituidos tudo por INPUT
;)

Abraço.

Em 24 de setembro de 2013 11:26, jefaokpta <jefaokpta em hotmail.com> escreveu:

> Obrigado por compartilhar Guilherme.
>
> Em 24-09-2013 09:32, Guilherme Rezende escreveu:
> > #!/bin/bash
> > ipt=/sbin/iptables
> > $ipt -F
> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -p udp -j DROP
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>

-- 
Thiago Anselmo
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130924/eb45c7a5/attachment.htm 