[AsteriskBrasil] Tentativa de invasao
Thiago Anselmo
thiagoo.anselmoo em gmail.com
Terça Setembro 24 11:59:15 BRT 2013
Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e não
IFGLOBAL...
Em 24 de setembro de 2013 11:57, Thiago Anselmo
<thiagoo.anselmoo em gmail.com>escreveu:
>
>
> Guilherme e outros amigos que tenha realmente a necessidade de ter um IP
> válido no seu asterisk use o seguinte firewall...
>
> #!/bin/bash
>
> REDE_OPERADORA="X.X.X.X/32"
> REDE_INTERNA="192.168.1.0/24"
>
> IFLOOPBACK="lo"
> IFWAN="eth0"
> IFLAN="eth1"
>
>
> # [ CRIA NOVAS CHAINS ]
>
> iptables -N OPERADORA
> iptables -N LAN
>
> # [ LIMPA TABELAS E CHAINS ]
>
> iptables -F
> iptables -F OPERADORA
> iptables -F LAN
>
> # [ INSERIR CHAINS NAS TABELAS ]
>
> iptables -A INPUT -j OPERADORA
> iptables -A INPUT -j LAN
>
> # [ MODIFICA POLITICAS DE ACESSO ]
>
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT ACCEPT
>
>
> #---------------------------- [ INICIO TABELA LAN ]
> ---------------------------#
>
> # LIBERA LOOPBACK
> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT
>
> #---------------------------- [ INICIO TABELA LAN ]
> ---------------------------#
>
> # LIBERA REDE LOCAL
> iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT
>
> #---------------------------- [ INICIO TABELA OPERADORA ]
> ---------------------------#
>
> # LIBERA CONSULTA DNS GOOGLE
> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT
> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT
>
> # LIBERA ASTERISK OPERADORA
> iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 -j
> ACCEPT
> iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 -j
> ACCEPT
>
> # LIBERA RTP OPERADORA
> iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m multiport
> --dport 10000:65535 -j ACCEPT
> iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m multiport
> --dport 10000:65535 -j ACCEPT
>
> OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua
> operadora e seu PABX utilizam para aumentar a segurança!
>
> OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto
> DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu
> banco de dados mysql ou qualquer liberado para fora, não deixar a porta do
> manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER
> 100% confiavel... E Deixar um Range de IP´S apenas do BR liberado na minha
> visão, é deixar um rombo no seu firewall!!
>
> Bloquei tudo libere para quem tem acesso! Para ter um logo melhor procurem
> na NET -j LOG ou se quiserem posso fazer um mais detalhado e com os logs de
> portas etc... "CUIDADO com o log pois poderás ter problema dependendo a
> ação tomada"
>
> OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso
> algum provedor utilize dominio ao invéis de IP.
>
> OBS4: Criamos Subtabelas de entrada apenas para quesito de organização do
> firewall e visualização melhor.. mais pode ser substituidos tudo por INPUT
> ;)
>
> Abraço.
>
>
> Em 24 de setembro de 2013 11:26, jefaokpta <jefaokpta em hotmail.com>escreveu:
>
> Obrigado por compartilhar Guilherme.
>>
>> Em 24-09-2013 09:32, Guilherme Rezende escreveu:
>> > #!/bin/bash
>> > ipt=/sbin/iptables
>> > $ipt -F
>> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -p udp -j DROP
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> --
> Thiago Anselmo
>
--
Thiago Anselmo
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130924/4ec2d7fd/attachment.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil