[AsteriskBrasil] Tentativa de invasao

Hudson Cardoso hudsoncardoso em hotmail.com
Terça Setembro 24 13:48:17 BRT 2013 

IDEM ...

Hudson 
(048) 8413-7000
Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. 

Date: Tue, 24 Sep 2013 13:44:18 -0300
From: zeljunior em gmail.com
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Tentativa de invasao

Asterisk 1.8 na nuvem, máquina com IP público 201.X.X.X. utilizo Debian Wheezy. 
Em 24/09/2013 12:19, "Thiago Anselmo" <thiagoo.anselmoo em gmail.com> escreveu:

me digam qual seus cenários.

Em 24 de setembro de 2013 12:13, Elieser Junior <zeljunior em gmail.com> escreveu:


Thiago, seria interessante.

Se puder contribuir mais, agradecemos.





Em 24 de setembro de 2013 12:05, Thiago Anselmo <thiagoo.anselmoo em gmail.com> escreveu:



Se tiveres um IP FIXO no seu PABX liberando apenas para sua operadora a chance de ataque diminui 99% pois o resto nem um pacote ICMP vai deixar passar!



;)
Caso queiram posso fazer um mais elaborado e também com uma interface gráfica para o shell usando, xdialog!









Em 24 de setembro de 2013 12:00, Elieser Junior <zeljunior em gmail.com> escreveu:




Muito bom Thiago, parabéns pela iniciativa.



Em 24 de setembro de 2013 11:59, Thiago Anselmo <thiagoo.anselmoo em gmail.com> escreveu:





Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e não IFGLOBAL...







Em 24 de setembro de 2013 11:57, Thiago Anselmo <thiagoo.anselmoo em gmail.com> escreveu:








Guilherme e outros amigos que tenha realmente a necessidade de ter um IP válido no seu asterisk use o seguinte firewall...






#!/bin/bash
REDE_OPERADORA="X.X.X.X/32"
REDE_INTERNA="192.168.1.0/24"
IFLOOPBACK="lo"IFWAN="eth0"IFLAN="eth1"








# [ CRIA NOVAS CHAINS ]
iptables -N OPERADORAiptables -N LAN
# [ LIMPA TABELAS E CHAINS ]
iptables -Fiptables -F OPERADORA






iptables -F LAN
# [ INSERIR CHAINS NAS TABELAS ]
iptables -A INPUT -j OPERADORAiptables -A INPUT -j LAN
# [ MODIFICA POLITICAS DE ACESSO ]







iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPT

#---------------------------- [ INICIO TABELA LAN ] ---------------------------#







# LIBERA LOOPBACKiptables -A INPUT -i $IFLOOPBACK -j ACCEPT
#---------------------------- [ INICIO TABELA LAN ] ---------------------------#







# LIBERA REDE LOCALiptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT
#---------------------------- [ INICIO TABELA OPERADORA ] ---------------------------#






# LIBERA CONSULTA DNS GOOGLE
iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPTiptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT
# LIBERA ASTERISK OPERADORAiptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 -j ACCEPT






iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 -j ACCEPT
# LIBERA RTP OPERADORAiptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m multiport --dport 10000:65535 -j ACCEPT






iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m multiport --dport 10000:65535 -j ACCEPT
OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua operadora e seu PABX utilizam para aumentar a segurança!







OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu banco de dados mysql ou qualquer liberado para fora, não deixar a porta do manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER 100% confiavel...  E Deixar um Range de IP´S apenas do BR liberado na minha visão, é deixar um rombo no seu firewall!! 







Bloquei tudo libere para quem tem acesso! Para ter um logo melhor procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com os logs de portas etc... "CUIDADO com o log pois poderás ter problema dependendo a ação tomada"







OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso algum provedor utilize dominio ao invéis de IP.
OBS4: Criamos Subtabelas de entrada apenas para quesito de organização do firewall e visualização melhor.. mais pode ser substituidos tudo por INPUT ;)







Abraço.

Em 24 de setembro de 2013 11:26, jefaokpta <jefaokpta em hotmail.com> escreveu:







Obrigado por compartilhar Guilherme.



Em 24-09-2013 09:32, Guilherme Rezende escreveu:

> #!/bin/bash

> ipt=/sbin/iptables

> $ipt -F

> $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT

> $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT

> $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT

> $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT

> $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT

> $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT

> $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT

> $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT

> $ipt -A INPUT -i eth2 -p udp -j DROP



_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org



-- 
Thiago Anselmo



-- 
Thiago Anselmo


_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org








_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org






-- 
Thiago Anselmo


_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org






_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org




-- 
Thiago Anselmo


_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org


_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conhe�a em www.Khomp.com.
_______________________________________________
ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank � Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 		 	   		  
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130924/aa3fc81e/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil