[AsteriskBrasil] Tentativa de invasao
Elieser Junior
zeljunior em gmail.com
Terça Setembro 24 13:44:18 BRT 2013
Asterisk 1.8 na nuvem, máquina com IP público 201.X.X.X. utilizo Debian
Wheezy.
Em 24/09/2013 12:19, "Thiago Anselmo" <thiagoo.anselmoo em gmail.com> escreveu:
> me digam qual seus cenários.
>
>
> Em 24 de setembro de 2013 12:13, Elieser Junior <zeljunior em gmail.com>escreveu:
>
>> Thiago, seria interessante.
>>
>> Se puder contribuir mais, agradecemos.
>>
>>
>>
>> Em 24 de setembro de 2013 12:05, Thiago Anselmo <
>> thiagoo.anselmoo em gmail.com> escreveu:
>>
>>> Se tiveres um IP FIXO no seu PABX liberando apenas para sua operadora a
>>> chance de ataque diminui 99% pois o resto nem um pacote ICMP vai deixar
>>> passar!
>>>
>>> ;)
>>>
>>> Caso queiram posso fazer um mais elaborado e também com uma interface
>>> gráfica para o shell usando, xdialog!
>>>
>>>
>>>
>>> Em 24 de setembro de 2013 12:00, Elieser Junior <zeljunior em gmail.com>escreveu:
>>>
>>> Muito bom Thiago, parabéns pela iniciativa.
>>>>
>>>>
>>>>
>>>> Em 24 de setembro de 2013 11:59, Thiago Anselmo <
>>>> thiagoo.anselmoo em gmail.com> escreveu:
>>>>
>>>> Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e
>>>>> não IFGLOBAL...
>>>>>
>>>>>
>>>>>
>>>>> Em 24 de setembro de 2013 11:57, Thiago Anselmo <
>>>>> thiagoo.anselmoo em gmail.com> escreveu:
>>>>>
>>>>>
>>>>>>
>>>>>> Guilherme e outros amigos que tenha realmente a necessidade de ter um
>>>>>> IP válido no seu asterisk use o seguinte firewall...
>>>>>>
>>>>>> #!/bin/bash
>>>>>>
>>>>>> REDE_OPERADORA="X.X.X.X/32"
>>>>>> REDE_INTERNA="192.168.1.0/24"
>>>>>>
>>>>>> IFLOOPBACK="lo"
>>>>>> IFWAN="eth0"
>>>>>> IFLAN="eth1"
>>>>>>
>>>>>>
>>>>>> # [ CRIA NOVAS CHAINS ]
>>>>>>
>>>>>> iptables -N OPERADORA
>>>>>> iptables -N LAN
>>>>>>
>>>>>> # [ LIMPA TABELAS E CHAINS ]
>>>>>>
>>>>>> iptables -F
>>>>>> iptables -F OPERADORA
>>>>>> iptables -F LAN
>>>>>>
>>>>>> # [ INSERIR CHAINS NAS TABELAS ]
>>>>>>
>>>>>> iptables -A INPUT -j OPERADORA
>>>>>> iptables -A INPUT -j LAN
>>>>>>
>>>>>> # [ MODIFICA POLITICAS DE ACESSO ]
>>>>>>
>>>>>> iptables -P INPUT DROP
>>>>>> iptables -P FORWARD DROP
>>>>>> iptables -P OUTPUT ACCEPT
>>>>>>
>>>>>>
>>>>>> #---------------------------- [ INICIO TABELA LAN ]
>>>>>> ---------------------------#
>>>>>>
>>>>>> # LIBERA LOOPBACK
>>>>>> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT
>>>>>>
>>>>>> #---------------------------- [ INICIO TABELA LAN ]
>>>>>> ---------------------------#
>>>>>>
>>>>>> # LIBERA REDE LOCAL
>>>>>> iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT
>>>>>>
>>>>>> #---------------------------- [ INICIO TABELA OPERADORA ]
>>>>>> ---------------------------#
>>>>>>
>>>>>> # LIBERA CONSULTA DNS GOOGLE
>>>>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT
>>>>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT
>>>>>>
>>>>>> # LIBERA ASTERISK OPERADORA
>>>>>> iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport
>>>>>> 5060 -j ACCEPT
>>>>>> iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport
>>>>>> 5060 -j ACCEPT
>>>>>>
>>>>>> # LIBERA RTP OPERADORA
>>>>>> iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m
>>>>>> multiport --dport 10000:65535 -j ACCEPT
>>>>>> iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m
>>>>>> multiport --dport 10000:65535 -j ACCEPT
>>>>>>
>>>>>> OBS: Vale lembrar que na parte RTP você libera apenas as portas que
>>>>>> sua operadora e seu PABX utilizam para aumentar a segurança!
>>>>>>
>>>>>> OBS2: Como já falado varias e varias vezes, nunca utilizar os
>>>>>> contexto DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca
>>>>>> deixar seu banco de dados mysql ou qualquer liberado para fora, não deixar
>>>>>> a porta do manager do asterisk liberada para fora.. FAIL2BAN NÂO È
>>>>>> SEGURANÇA A SER 100% confiavel... E Deixar um Range de IP´S apenas do BR
>>>>>> liberado na minha visão, é deixar um rombo no seu firewall!!
>>>>>>
>>>>>> Bloquei tudo libere para quem tem acesso! Para ter um logo melhor
>>>>>> procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com
>>>>>> os logs de portas etc... "CUIDADO com o log pois poderás ter problema
>>>>>> dependendo a ação tomada"
>>>>>>
>>>>>> OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso
>>>>>> algum provedor utilize dominio ao invéis de IP.
>>>>>>
>>>>>> OBS4: Criamos Subtabelas de entrada apenas para quesito de
>>>>>> organização do firewall e visualização melhor.. mais pode ser substituidos
>>>>>> tudo por INPUT ;)
>>>>>>
>>>>>> Abraço.
>>>>>>
>>>>>>
>>>>>> Em 24 de setembro de 2013 11:26, jefaokpta <jefaokpta em hotmail.com>escreveu:
>>>>>>
>>>>>> Obrigado por compartilhar Guilherme.
>>>>>>>
>>>>>>> Em 24-09-2013 09:32, Guilherme Rezende escreveu:
>>>>>>> > #!/bin/bash
>>>>>>> > ipt=/sbin/iptables
>>>>>>> > $ipt -F
>>>>>>> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
>>>>>>> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
>>>>>>> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
>>>>>>> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
>>>>>>> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
>>>>>>> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
>>>>>>> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
>>>>>>> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
>>>>>>> > $ipt -A INPUT -i eth2 -p udp -j DROP
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>>>>> www.Khomp.com.
>>>>>>> _______________________________________________
>>>>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>>>>> _______________________________________________
>>>>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Thiago Anselmo
>>>>>>
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Thiago Anselmo
>>>>>
>>>>> _______________________________________________
>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>>> www.Khomp.com.
>>>>> _______________________________________________
>>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>>> _______________________________________________
>>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>> www.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>
>>>
>>>
>>> --
>>> Thiago Anselmo
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> --
> Thiago Anselmo
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130924/010b17e5/attachment.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil