[AsteriskBrasil] Tentativa de invasao

Mike Tesliuk mike em tesliuk.com
Quarta Setembro 25 10:44:48 BRT 2013


Dae,

Cara eu nao usei, na verdade a unica coisa que usei da Pika foi um 
driver pra fax a muito tempo atrás, os caras são bons de suporte e pós 
venda.

Quanto a troughtput e coisas do genero, da uma olhada porque eles sempre 
fazem algum tipo de webinar para falar sobre o produto, eu penso que é 
algo feito para um pabx e não para um sip proxy, então em teoria não 
deve ter problema.

Como eu disse, foi apenas para conhecimento mesmo que eu passei.


Eu essa parte eu tenho literalmente todos os meus servidores expostos na 
internet, isso varia entre asterisk e opensips, basicamente eu tenho 
firewall nestes caras, os meus opensips eu uso apenas para falar com 
clientes ou operadoras com ip fixo então tudo é bloqueado por ip, mas 
claro, existem muitas linhas de código no opensips para fazer a 
validação do cliente, mesmo se ele estiver dentro de um ip liberado.

talvez exista alguma brecha ainda, mas ainda não encontramos, a maior 
parte de falhas de segurança que temos é com senhas fracas ou coisas do 
tipo.

uma coisa que faz toda a diferença é o username que voce cria, 
dificilmente voce ve tentativa de login com username acima de 4 digitos, 
eu utilizo 18 caracteres no username, 10 caracteres na senha (todos 
gerados de forma aleatoria, nao permito o cliente definir a senha dele), 
no caso de pabx ainda tem a questão de sempre utilizar senha para fazer 
as chamadas porque mesmo que o cara consiga acesso a uma conta, ele 
ainda tem que conseguir a senha, ai voce tem outros detalhes para 
minimizar impacto se ainda assim voce for comprometido, como contas de 
usuários com saldo baixo, limite na quantidade de chamadas simultaneas.

Eu tenho que começar a fazer agora um script para havaliar o perfil de 
ligação para detectar chamadas de perfil diferente, tipo , o cara só 
liga pra brasil e ai começa a sair ligação pra cuba, china, ou sei la 
onde, isso é fora do padrão, entao tem que ser alertado.

Um outro detalhe também é não habilitar chamadas internacionais a menos 
que seja realmente necessario, dificimente voce vai ver alguem falar que 
sofreu invasao e o cara saiu ligando para numero no brasil.



Em 25/09/13 08:56, chicolet escreveu:
> Mike Tesliuk,
>
> Bom dia.
> Muito interessante esse micro Firewall da Pika Technologies.
> Ele tem um bom throughput para evitar problemas na qualidade da voz?
> Você utilizou este dispositivo em algum projeto?
> Obrigado,
> Chicolet
>
> *De:* Mike Tesliuk < mike em tesliuk.com >
> *Enviada:* Terça-feira, 24 de Setembro de 2013 14:40
> *Para:* asteriskbrasil em listas.asteriskbrasil.org
> *Assunto:* Re: [AsteriskBrasil] Tentativa de invasao
>
>
> apenas a titulo de curiosidade.
>
> http://www.pikatechnologies.com/english/view.asp?x=1294
>
> isso pode interessar para algumas pessoas
>
>
> Em 24/09/13 13:21, Thiago Anselmo escreveu:
>
>     OK!!
>     Irei fazer e depois envio para o pessoal e abro um tópico sobre isso!
>
>
>     Em 24 de setembro de 2013 13:48, Hudson Cardoso
>     <hudsoncardoso em hotmail.com <mailto:hudsoncardoso em hotmail.com>>
>     escreveu:
>
>         IDEM ...
>
>
>         Hudson
>         (048) 8413-7000
>         Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>
>
>         ------------------------------------------------------------------------
>         Date: Tue, 24 Sep 2013 13:44:18 -0300
>         From: zeljunior em gmail.com <mailto:zeljunior em gmail.com>
>
>         To: asteriskbrasil em listas.asteriskbrasil.org
>         <mailto:asteriskbrasil em listas.asteriskbrasil.org>
>         Subject: Re: [AsteriskBrasil] Tentativa de invasao
>
>         Asterisk 1.8 na nuvem, máquina com IP público 201.X.X.X.
>         utilizo Debian Wheezy.
>
>         Em 24/09/2013 12:19, "Thiago Anselmo"
>         <thiagoo.anselmoo em gmail.com
>         <mailto:thiagoo.anselmoo em gmail.com>> escreveu:
>
>             me digam qual seus cenários.
>
>
>             Em 24 de setembro de 2013 12:13, Elieser Junior
>             <zeljunior em gmail.com <mailto:zeljunior em gmail.com>> escreveu:
>
>                 Thiago, seria interessante.
>                 Se puder contribuir mais, agradecemos.
>
>
>                 Em 24 de setembro de 2013 12:05, Thiago Anselmo
>                 <thiagoo.anselmoo em gmail.com
>                 <mailto:thiagoo.anselmoo em gmail.com>> escreveu:
>
>                     Se tiveres um IP FIXO no seu PABX liberando apenas
>                     para sua operadora a chance de ataque diminui 99%
>                     pois o resto nem um pacote ICMP vai deixar passar!
>                     ;)
>                     Caso queiram posso fazer um mais elaborado e
>                     também com uma interface gráfica para o shell
>                     usando, xdialog!
>
>
>
>                     Em 24 de setembro de 2013 12:00, Elieser Junior
>                     <zeljunior em gmail.com
>                     <mailto:zeljunior em gmail.com>>escreveu:
>
>                         Muito bom Thiago, parabéns pela iniciativa.
>
>
>                         Em 24 de setembro de 2013 11:59, Thiago
>                         Anselmo <thiagoo.anselmoo em gmail.com
>                         <mailto:thiagoo.anselmoo em gmail.com>>escreveu:
>
>                             Cometi um erro na liberação do RTP/DNS a
>                             interface correta é IFWAN e não IFGLOBAL...
>
>
>                             Em 24 de setembro de 2013 11:57, Thiago
>                             Anselmo <thiagoo.anselmoo em gmail.com
>                             <mailto:thiagoo.anselmoo em gmail.com>>escreveu:
>
>
>
>                                 Guilherme e outros amigos que tenha
>                                 realmente a necessidade de ter um IP
>                                 válido no seu asterisk use o seguinte
>                                 firewall...
>                                 #!/bin/bash
>                                 REDE_OPERADORA="X.X.X.X/32"
>                                 REDE_INTERNA="192.168.1.0/24
>                                 <http://192.168.1.0/24>"
>                                 IFLOOPBACK="lo"
>                                 IFWAN="eth0"
>                                 IFLAN="eth1"
>                                 # [ CRIA NOVAS CHAINS ]
>                                 iptables -N OPERADORA
>                                 iptables -N LAN
>                                 # [ LIMPA TABELAS E CHAINS ]
>                                 iptables -F
>                                 iptables -F OPERADORA
>                                 iptables -F LAN
>                                 # [ INSERIR CHAINS NAS TABELAS ]
>                                 iptables -A INPUT -j OPERADORA
>                                 iptables -A INPUT -j LAN
>                                 # [ MODIFICA POLITICAS DE ACESSO ]
>                                 iptables -P INPUT DROP
>                                 iptables -P FORWARD DROP
>                                 iptables -P OUTPUT ACCEPT
>                                 #---------------------------- [ INICIO
>                                 TABELA LAN ] ---------------------------#
>                                 # LIBERA LOOPBACK
>                                 iptables -A INPUT -i $IFLOOPBACK -j ACCEPT
>                                 #---------------------------- [ INICIO
>                                 TABELA LAN ] ---------------------------#
>                                 # LIBERA REDE LOCAL
>                                 iptables -A LAN -i $IFLAN -s
>                                 $REDE_INTERNA -j ACCEPT
>                                 #---------------------------- [ INICIO
>                                 TABELA OPERADORA ]
>                                 ---------------------------#
>                                 # LIBERA CONSULTA DNS GOOGLE
>                                 iptables -A OPERADORA -i $IFGLOBAL -s
>                                 8.8.8.8 --dport 53 -j ACCEPT
>                                 iptables -A OPERADORA -i $IFGLOBAL -s
>                                 8.8.4.4 --dport 53 -j ACCEPT
>                                 # LIBERA ASTERISK OPERADORA
>                                 iptables -A OPERADORA -i $IFWAN -p udp
>                                 -s $REDE_OPERADORA --dport 5060 -j ACCEPT
>                                 iptables -A OPERADORA -i $IFWAN -p tcp
>                                 -s $REDE_OPERADORA --dport 5060 -j ACCEPT
>                                 # LIBERA RTP OPERADORA
>                                 iptables -A OPERADORA -i $IFGLOBAL -p
>                                 udp -s $REDE_OPERADORA -m multiport
>                                 --dport 10000:65535 -j ACCEPT
>                                 iptables -A OPERADORA -i $IFGLOBAL -p
>                                 tcp -s $REDE_OPERADORA -m multiport
>                                 --dport 10000:65535 -j ACCEPT
>                                 OBS: Vale lembrar que na parte RTP
>                                 você libera apenas as portas que sua
>                                 operadora e seu PABX utilizam para
>                                 aumentar a segurança!
>                                 OBS2: Como já falado varias e varias
>                                 vezes, nunca utilizar os contexto
>                                 DEFAULT, nunca usar senhas fracas se
>                                 possível usar MD5, nunca deixar seu
>                                 banco de dados mysql ou qualquer
>                                 liberado para fora, não deixar a porta
>                                 do manager do asterisk liberada para
>                                 fora.. FAIL2BAN NÂO È SEGURANÇA A SER
>                                 100% confiavel...  E Deixar um Range
>                                 de IP´S apenas do BR liberado na minha
>                                 visão, é deixar um rombo no seu
>                                 firewall!!
>                                 Bloquei tudo libere para quem tem
>                                 acesso! Para ter um logo melhor
>                                 procurem na NET -j LOG ou se quiserem
>                                 posso fazer um mais detalhado e com os
>                                 logs de portas etc... "CUIDADO com o
>                                 log pois poderás ter problema
>                                 dependendo a ação tomada"
>                                 OBS3: Liberamos o IP DNS do google
>                                 para fazer consultas DNS pois caso
>                                 algum provedor utilize dominio ao
>                                 invéis de IP.
>                                 OBS4: Criamos Subtabelas de entrada
>                                 apenas para quesito de organização do
>                                 firewall e visualização melhor.. mais
>                                 pode ser substituidos tudo por INPUT ;)
>                                 Abraço.
>
>
>                                 Em 24 de setembro de 2013 11:26,
>                                 jefaokpta <jefaokpta em hotmail.com
>                                 <mailto:jefaokpta em hotmail.com>>escreveu:
>
>                                     Obrigado por compartilhar Guilherme.
>
>                                     Em 24-09-2013 09:32, Guilherme
>                                     Rezende escreveu:
>                                     > #!/bin/bash
>                                     > ipt=/sbin/iptables
>                                     > $ipt -F
>                                     > $ipt -A INPUT -i eth2 -s
>                                     172.16.5.0/24
>                                     <http://172.16.5.0/24> -p udp -j
>                                     ACCEPT
>                                     > $ipt -A INPUT -i eth2 -s
>                                     186.0.0.0/8 <http://186.0.0.0/8>
>                                     -p udp -j ACCEPT
>                                     > $ipt -A INPUT -i eth2 -s
>                                     187.0.0.0/8 <http://187.0.0.0/8>
>                                     -p udp -j ACCEPT
>                                     > $ipt -A INPUT -i eth2 -s
>                                     177.0.0.0/8 <http://177.0.0.0/8>
>                                     -p udp -j ACCEPT
>                                     > $ipt -A INPUT -i eth2 -s
>                                     179.0.0.0/8 <http://179.0.0.0/8>
>                                     -p udp -j ACCEPT
>                                     > $ipt -A INPUT -i eth2 -s
>                                     189.0.0.0/8 <http://189.0.0.0/8>
>                                     -p udp -j ACCEPT
>                                     > $ipt -A INPUT -i eth2 -s
>                                     200.0.0.0/8 <http://200.0.0.0/8>
>                                     -p udp -j ACCEPT
>                                     > $ipt -A INPUT -i eth2 -s
>                                     201.0.0.0/8 <http://201.0.0.0/8>
>                                     -p udp -j ACCEPT
>                                     > $ipt -A INPUT -i eth2 -p udp -j DROP
>                                     _______________________________________________
>                                     KHOMP: completa linha de placas
>                                     externas FXO, FXS, GSM e E1;
>                                     Media Gateways de 1 a 64 E1s para
>                                     SIP com R2, ISDN e SS7;
>                                     Intercomunicadores para acesso
>                                     remoto via rede IP. Conheça em
>                                     www.Khomp.com <http://www.Khomp.com>.
>                                     _______________________________________________
>                                     ALIGERA -- Fabricante nacional de
>                                     Gateways SIP-E1 para R2, ISDN e SS7.
>                                     Placas de 1E1, 2E1, 4E1 e 8E1 para
>                                     PCI ou PCI Express.
>                                     Channel Bank -- Appliance Asterisk
>                                     - Acesse www.aligera.com.br
>                                     <http://www.aligera.com.br>.
>                                     _______________________________________________
>                                     Para remover seu email desta
>                                     lista, basta enviar um email em
>                                     branco para
>                                     asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>                                     <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>                                 -- 
>                                 Thiago Anselmo
>
>
>
>                             -- 
>                             Thiago Anselmo
>
>                             _______________________________________________
>                             KHOMP: completa linha de placas externas
>                             FXO, FXS, GSM e E1;
>                             Media Gateways de 1 a 64 E1s para SIP com
>                             R2, ISDN e SS7;
>                             Intercomunicadores para acesso remoto via
>                             rede IP. Conheça em www.Khomp.com
>                             <http://www.Khomp.com>.
>                             _______________________________________________
>                             ALIGERA -- Fabricante nacional de Gateways
>                             SIP-E1 para R2, ISDN e SS7.
>                             Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou
>                             PCI Express.
>                             Channel Bank -- Appliance Asterisk -
>                             Acesse www.aligera.com.br
>                             <http://www.aligera.com.br>.
>                             _______________________________________________
>                             Para remover seu email desta lista, basta
>                             enviar um email em branco para
>                             asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>                             <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>                         _______________________________________________
>                         KHOMP: completa linha de placas externas FXO,
>                         FXS, GSM e E1;
>                         Media Gateways de 1 a 64 E1s para SIP com R2,
>                         ISDN e SS7;
>                         Intercomunicadores para acesso remoto via rede
>                         IP. Conheça em www.Khomp.com
>                         <http://www.Khomp.com>.
>                         _______________________________________________
>                         ALIGERA -- Fabricante nacional de Gateways
>                         SIP-E1 para R2, ISDN e SS7.
>                         Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI
>                         Express.
>                         Channel Bank -- Appliance Asterisk - Acesse
>                         www.aligera.com.br <http://www.aligera.com.br>.
>                         _______________________________________________
>                         Para remover seu email desta lista, basta
>                         enviar um email em branco para
>                         asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>                         <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>                     -- 
>                     Thiago Anselmo
>
>                     _______________________________________________
>                     KHOMP: completa linha de placas externas FXO, FXS,
>                     GSM e E1;
>                     Media Gateways de 1 a 64 E1s para SIP com R2, ISDN
>                     e SS7;
>                     Intercomunicadores para acesso remoto via rede IP.
>                     Conheça em www.Khomp.com <http://www.Khomp.com>.
>                     _______________________________________________
>                     ALIGERA -- Fabricante nacional de Gateways SIP-E1
>                     para R2, ISDN e SS7.
>                     Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>                     Channel Bank -- Appliance Asterisk - Acesse
>                     www.aligera.com.br <http://www.aligera.com.br>.
>                     _______________________________________________
>                     Para remover seu email desta lista, basta enviar
>                     um email em branco para
>                     asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>                     <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>                 _______________________________________________
>                 KHOMP: completa linha de placas externas FXO, FXS, GSM
>                 e E1;
>                 Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>                 Intercomunicadores para acesso remoto via rede IP.
>                 Conheça em www.Khomp.com <http://www.Khomp.com>.
>                 _______________________________________________
>                 ALIGERA -- Fabricante nacional de Gateways SIP-E1 para
>                 R2, ISDN e SS7.
>                 Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>                 Channel Bank -- Appliance Asterisk - Acesse
>                 www.aligera.com.br <http://www.aligera.com.br>.
>                 _______________________________________________
>                 Para remover seu email desta lista, basta enviar um
>                 email em branco para
>                 asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>                 <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>             -- 
>             Thiago Anselmo
>
>             _______________________________________________
>             KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>             Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>             Intercomunicadores para acesso remoto via rede IP. Conheça
>             em www.Khomp.com <http://www.Khomp.com>.
>             _______________________________________________
>             ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
>             ISDN e SS7.
>             Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>             Channel Bank -- Appliance Asterisk - Acesse
>             www.aligera.com.br <http://www.aligera.com.br>.
>             _______________________________________________
>             Para remover seu email desta lista, basta enviar um email
>             em branco para
>             asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>             <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>         _______________________________________________ KHOMP:
>         completa linha de placas externas FXO, FXS, GSM e E1; Media
>         Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>         Intercomunicadores para acesso remoto via rede IP. Conhe?a em
>         www.Khomp.com <http://www.Khomp.com>.
>         _______________________________________________ ALIGERA ?
>         Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>         Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel
>         Bank ? Appliance Asterisk - Acesse www.aligera.com.br
>         <http://www.aligera.com.br>.
>         _______________________________________________ Para remover
>         seu email desta lista, basta enviar um email em branco para
>         asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>         <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>         _______________________________________________
>         KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>         Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>         Intercomunicadores para acesso remoto via rede IP. Conheça em
>         www.Khomp.com <http://www.Khomp.com>.
>         _______________________________________________
>         ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
>         ISDN e SS7.
>         Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>         Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
>         <http://www.aligera.com.br>.
>         _______________________________________________
>         Para remover seu email desta lista, basta enviar um email em
>         branco para
>         asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>         <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>     -- 
>     Thiago Anselmo
>
>
>     _______________________________________________
>     KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>     Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>     Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>     _______________________________________________
>     ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>     Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>     Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>     _______________________________________________
>     Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130925/50603b1f/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil