[AsteriskBrasil] Tentativa de invasao

Elieser Junior zeljunior em gmail.com
Terça Setembro 24 12:00:58 BRT 2013


Muito bom Thiago, parabéns pela iniciativa.



Em 24 de setembro de 2013 11:59, Thiago Anselmo
<thiagoo.anselmoo em gmail.com>escreveu:

> Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e não
> IFGLOBAL...
>
>
>
> Em 24 de setembro de 2013 11:57, Thiago Anselmo <
> thiagoo.anselmoo em gmail.com> escreveu:
>
>
>>
>> Guilherme e outros amigos que tenha realmente a necessidade de ter um IP
>> válido no seu asterisk use o seguinte firewall...
>>
>> #!/bin/bash
>>
>> REDE_OPERADORA="X.X.X.X/32"
>> REDE_INTERNA="192.168.1.0/24"
>>
>> IFLOOPBACK="lo"
>> IFWAN="eth0"
>> IFLAN="eth1"
>>
>>
>> # [ CRIA NOVAS CHAINS ]
>>
>> iptables -N OPERADORA
>> iptables -N LAN
>>
>> # [ LIMPA TABELAS E CHAINS ]
>>
>> iptables -F
>> iptables -F OPERADORA
>> iptables -F LAN
>>
>> # [ INSERIR CHAINS NAS TABELAS ]
>>
>> iptables -A INPUT -j OPERADORA
>> iptables -A INPUT -j LAN
>>
>> # [ MODIFICA POLITICAS DE ACESSO ]
>>
>> iptables -P INPUT DROP
>> iptables -P FORWARD DROP
>> iptables -P OUTPUT ACCEPT
>>
>>
>> #---------------------------- [ INICIO TABELA LAN ]
>> ---------------------------#
>>
>> # LIBERA LOOPBACK
>> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT
>>
>> #---------------------------- [ INICIO TABELA LAN ]
>> ---------------------------#
>>
>> # LIBERA REDE LOCAL
>> iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT
>>
>> #---------------------------- [ INICIO TABELA OPERADORA ]
>> ---------------------------#
>>
>> # LIBERA CONSULTA DNS GOOGLE
>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT
>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT
>>
>> # LIBERA ASTERISK OPERADORA
>> iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 -j
>> ACCEPT
>> iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 -j
>> ACCEPT
>>
>> # LIBERA RTP OPERADORA
>> iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m multiport
>> --dport 10000:65535 -j ACCEPT
>> iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m multiport
>> --dport 10000:65535 -j ACCEPT
>>
>> OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua
>> operadora e seu PABX utilizam para aumentar a segurança!
>>
>> OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto
>> DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu
>> banco de dados mysql ou qualquer liberado para fora, não deixar a porta do
>> manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER
>> 100% confiavel...  E Deixar um Range de IP´S apenas do BR liberado na minha
>> visão, é deixar um rombo no seu firewall!!
>>
>> Bloquei tudo libere para quem tem acesso! Para ter um logo melhor
>> procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com
>> os logs de portas etc... "CUIDADO com o log pois poderás ter problema
>> dependendo a ação tomada"
>>
>> OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso
>> algum provedor utilize dominio ao invéis de IP.
>>
>> OBS4: Criamos Subtabelas de entrada apenas para quesito de organização do
>> firewall e visualização melhor.. mais pode ser substituidos tudo por INPUT
>> ;)
>>
>> Abraço.
>>
>>
>> Em 24 de setembro de 2013 11:26, jefaokpta <jefaokpta em hotmail.com>escreveu:
>>
>> Obrigado por compartilhar Guilherme.
>>>
>>> Em 24-09-2013 09:32, Guilherme Rezende escreveu:
>>> > #!/bin/bash
>>> > ipt=/sbin/iptables
>>> > $ipt -F
>>> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -p udp -j DROP
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>>
>> --
>> Thiago Anselmo
>>
>
>
>
> --
> Thiago Anselmo
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130924/ecb8a8e2/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil