[AsteriskBrasil] Tentativa de invasao
Mike Tesliuk
mike em tesliuk.com
Terça Setembro 24 14:40:26 BRT 2013
apenas a titulo de curiosidade.
http://www.pikatechnologies.com/english/view.asp?x=1294
isso pode interessar para algumas pessoas
Em 24/09/13 13:21, Thiago Anselmo escreveu:
> OK!!
>
> Irei fazer e depois envio para o pessoal e abro um tópico sobre isso!
>
>
> Em 24 de setembro de 2013 13:48, Hudson Cardoso
> <hudsoncardoso em hotmail.com <mailto:hudsoncardoso em hotmail.com>> escreveu:
>
> IDEM ...
>
>
> Hudson
> (048) 8413-7000
> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>
>
>
> ------------------------------------------------------------------------
> Date: Tue, 24 Sep 2013 13:44:18 -0300
> From: zeljunior em gmail.com <mailto:zeljunior em gmail.com>
>
> To: asteriskbrasil em listas.asteriskbrasil.org
> <mailto:asteriskbrasil em listas.asteriskbrasil.org>
> Subject: Re: [AsteriskBrasil] Tentativa de invasao
>
> Asterisk 1.8 na nuvem, máquina com IP público 201.X.X.X. utilizo
> Debian Wheezy.
>
> Em 24/09/2013 12:19, "Thiago Anselmo" <thiagoo.anselmoo em gmail.com
> <mailto:thiagoo.anselmoo em gmail.com>> escreveu:
>
> me digam qual seus cenários.
>
>
> Em 24 de setembro de 2013 12:13, Elieser Junior
> <zeljunior em gmail.com <mailto:zeljunior em gmail.com>> escreveu:
>
> Thiago, seria interessante.
>
> Se puder contribuir mais, agradecemos.
>
>
>
> Em 24 de setembro de 2013 12:05, Thiago Anselmo
> <thiagoo.anselmoo em gmail.com
> <mailto:thiagoo.anselmoo em gmail.com>> escreveu:
>
> Se tiveres um IP FIXO no seu PABX liberando apenas
> para sua operadora a chance de ataque diminui 99% pois
> o resto nem um pacote ICMP vai deixar passar!
>
> ;)
>
> Caso queiram posso fazer um mais elaborado e também
> com uma interface gráfica para o shell usando, xdialog!
>
>
>
> Em 24 de setembro de 2013 12:00, Elieser Junior
> <zeljunior em gmail.com <mailto:zeljunior em gmail.com>>
> escreveu:
>
> Muito bom Thiago, parabéns pela iniciativa.
>
>
>
> Em 24 de setembro de 2013 11:59, Thiago Anselmo
> <thiagoo.anselmoo em gmail.com
> <mailto:thiagoo.anselmoo em gmail.com>> escreveu:
>
> Cometi um erro na liberação do RTP/DNS a
> interface correta é IFWAN e não IFGLOBAL...
>
>
>
> Em 24 de setembro de 2013 11:57, Thiago
> Anselmo <thiagoo.anselmoo em gmail.com
> <mailto:thiagoo.anselmoo em gmail.com>> escreveu:
>
>
>
> Guilherme e outros amigos que tenha
> realmente a necessidade de ter um IP
> válido no seu asterisk use o seguinte
> firewall...
>
> #!/bin/bash
>
> REDE_OPERADORA="X.X.X.X/32"
> REDE_INTERNA="192.168.1.0/24
> <http://192.168.1.0/24>"
>
> IFLOOPBACK="lo"
> IFWAN="eth0"
> IFLAN="eth1"
>
>
> # [ CRIA NOVAS CHAINS ]
>
> iptables -N OPERADORA
> iptables -N LAN
>
> # [ LIMPA TABELAS E CHAINS ]
>
> iptables -F
> iptables -F OPERADORA
> iptables -F LAN
>
> # [ INSERIR CHAINS NAS TABELAS ]
>
> iptables -A INPUT -j OPERADORA
> iptables -A INPUT -j LAN
>
> # [ MODIFICA POLITICAS DE ACESSO ]
>
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT ACCEPT
>
>
> #---------------------------- [ INICIO
> TABELA LAN ] ---------------------------#
>
> # LIBERA LOOPBACK
> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT
>
> #---------------------------- [ INICIO
> TABELA LAN ] ---------------------------#
>
> # LIBERA REDE LOCAL
> iptables -A LAN -i $IFLAN -s $REDE_INTERNA
> -j ACCEPT
>
> #---------------------------- [ INICIO
> TABELA OPERADORA ]
> ---------------------------#
>
> # LIBERA CONSULTA DNS GOOGLE
> iptables -A OPERADORA -i $IFGLOBAL -s
> 8.8.8.8 --dport 53 -j ACCEPT
> iptables -A OPERADORA -i $IFGLOBAL -s
> 8.8.4.4 --dport 53 -j ACCEPT
>
> # LIBERA ASTERISK OPERADORA
> iptables -A OPERADORA -i $IFWAN -p udp -s
> $REDE_OPERADORA --dport 5060 -j ACCEPT
> iptables -A OPERADORA -i $IFWAN -p tcp -s
> $REDE_OPERADORA --dport 5060 -j ACCEPT
>
> # LIBERA RTP OPERADORA
> iptables -A OPERADORA -i $IFGLOBAL -p udp
> -s $REDE_OPERADORA -m multiport --dport
> 10000:65535 -j ACCEPT
> iptables -A OPERADORA -i $IFGLOBAL -p tcp
> -s $REDE_OPERADORA -m multiport --dport
> 10000:65535 -j ACCEPT
>
> OBS: Vale lembrar que na parte RTP você
> libera apenas as portas que sua operadora
> e seu PABX utilizam para aumentar a segurança!
>
> OBS2: Como já falado varias e varias
> vezes, nunca utilizar os contexto DEFAULT,
> nunca usar senhas fracas se possível usar
> MD5, nunca deixar seu banco de dados mysql
> ou qualquer liberado para fora, não deixar
> a porta do manager do asterisk liberada
> para fora.. FAIL2BAN NÂO È SEGURANÇA A SER
> 100% confiavel... E Deixar um Range de
> IP´S apenas do BR liberado na minha visão,
> é deixar um rombo no seu firewall!!
>
> Bloquei tudo libere para quem tem acesso!
> Para ter um logo melhor procurem na NET -j
> LOG ou se quiserem posso fazer um mais
> detalhado e com os logs de portas etc...
> "CUIDADO com o log pois poderás ter
> problema dependendo a ação tomada"
>
> OBS3: Liberamos o IP DNS do google para
> fazer consultas DNS pois caso algum
> provedor utilize dominio ao invéis de IP.
>
> OBS4: Criamos Subtabelas de entrada apenas
> para quesito de organização do firewall e
> visualização melhor.. mais pode ser
> substituidos tudo por INPUT ;)
>
> Abraço.
>
>
> Em 24 de setembro de 2013 11:26, jefaokpta
> <jefaokpta em hotmail.com
> <mailto:jefaokpta em hotmail.com>> escreveu:
>
> Obrigado por compartilhar Guilherme.
>
> Em 24-09-2013 09:32, Guilherme Rezende
> escreveu:
> > #!/bin/bash
> > ipt=/sbin/iptables
> > $ipt -F
> > $ipt -A INPUT -i eth2 -s
> 172.16.5.0/24 <http://172.16.5.0/24>
> -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8
> <http://186.0.0.0/8> -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8
> <http://187.0.0.0/8> -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8
> <http://177.0.0.0/8> -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8
> <http://179.0.0.0/8> -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8
> <http://189.0.0.0/8> -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8
> <http://200.0.0.0/8> -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8
> <http://201.0.0.0/8> -p udp -j ACCEPT
> > $ipt -A INPUT -i eth2 -p udp -j DROP
>
> _______________________________________________
> KHOMP: completa linha de placas
> externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP
> com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto
> via rede IP. Conheça em www.Khomp.com
> <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de
> Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI
> ou PCI Express.
> Channel Bank -- Appliance Asterisk -
> Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista,
> basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> --
> Thiago Anselmo
>
>
>
>
> --
> Thiago Anselmo
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO,
> FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2,
> ISDN e SS7;
> Intercomunicadores para acesso remoto via rede
> IP. Conheça em www.Khomp.com
> <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways
> SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI
> Express.
> Channel Bank -- Appliance Asterisk - Acesse
> www.aligera.com.br <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta
> enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS,
> GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN
> e SS7;
> Intercomunicadores para acesso remoto via rede IP.
> Conheça em www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1
> para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse
> www.aligera.com.br <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar
> um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> --
> Thiago Anselmo
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM
> e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP.
> Conheça em www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para
> R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse
> www.aligera.com.br <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um
> email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça
> em www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
> ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse
> www.aligera.com.br <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email
> em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> --
> Thiago Anselmo
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
> ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em
> branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
> _______________________________________________ KHOMP: completa
> linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a
> 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso
> remoto via rede IP. Conhe?a em www.Khomp.com
> <http://www.Khomp.com>.
> _______________________________________________ ALIGERA ?
> Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas
> de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank ?
> Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________ Para remover seu
> email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em
> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> --
> Thiago Anselmo
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130924/5b727459/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil