[AsteriskBrasil] Tentativa de invasao

Sylvio Jollenbeck sylvio.jollenbeck em gmail.com
Quarta Setembro 25 15:01:24 BRT 2013 

Pessoal,

   Utilizem a dica postada http://sb.eti.br/?p=13, isso vai acabar com o
problema de invasão pelo SIP.

Abs.


Em 25 de setembro de 2013 14:51, chicolet <chicolet em bol.com.br> escreveu:

> Obrigado.
>
> Sds,
> Chicolet
>
> ------------------------------
>
> *De:* Mike Tesliuk < mike em tesliuk.com >
> *Enviada:* Quarta-feira, 25 de Setembro de 2013 10:44
>
> *Para:* asteriskbrasil em listas.asteriskbrasil.org
> *Assunto:* Re: [AsteriskBrasil] Tentativa de invasao
>
>
> Dae,
>
> Cara eu nao usei, na verdade a unica coisa que usei da Pika foi um driver
> pra fax a muito tempo atrás, os caras são bons de suporte e pós venda.
>
> Quanto a troughtput e coisas do genero, da uma olhada porque eles sempre
> fazem algum tipo de webinar para falar sobre o produto, eu penso que é algo
> feito para um pabx e não para um sip proxy, então em teoria não deve ter
> problema.
>
> Como eu disse, foi apenas para conhecimento mesmo que eu passei.
>
>
> Eu essa parte eu tenho literalmente todos os meus servidores expostos na
> internet, isso varia entre asterisk e opensips, basicamente eu tenho
> firewall nestes caras, os meus opensips eu uso apenas para falar com
> clientes ou operadoras com ip fixo então tudo é bloqueado por ip, mas
> claro, existem muitas linhas de código no opensips para fazer a validação
> do cliente, mesmo se ele estiver dentro de um ip liberado.
>
> talvez e xista alguma brecha ainda, mas ainda não encontramos, a maior
> parte de falhas de segurança que temos é com senhas fracas ou coisas do
> tipo.
>
>
> uma coisa que faz toda a diferença é o username que voce cria,
> dificilmente voce ve tentativa de login com username acima de 4 digitos, eu
> utilizo 18 caracteres no username, 10 caracteres na senha (todos gerados de
> forma aleatoria, nao permito o cliente definir a senha dele), no caso de
> pabx ainda tem a questão de sempre utilizar senha para fazer as chamadas
> porque mesmo que o cara consiga acesso a uma conta, ele ainda tem que
> conseguir a senha, ai voce tem outros detalhes para minimizar impacto se
> ainda assim voce for comprometido, como contas de usuários com saldo baixo,
> limite na quantidade de chamadas simultaneas.
>
> Eu tenho que começar a fazer agora um script para havaliar o perfil de
> ligação para detectar chamadas de perfil diferente, tipo , o cara só liga
> pra brasil e ai começa a sair ligação pra cuba, china, ou sei la onde, isso
> é fora do padrão, entao tem que ser alertado.
>
> Um outro detalhe também é não habilitar chamadas internacionais a menos
> que seja realmente necessario, dificimente voce vai ver alguem falar que
> sofreu invasao e o cara saiu ligando para numero no brasil.
>
>
>
> Em 25/09/13 08:56, chicolet escreveu:
>
> Mike Tesliuk,
>
> Bom dia.
>
> Muito interessante esse micro Firewall da Pika Technologies.
>
> Ele tem um bom throughput para evitar problemas na qualidade da voz?
>
> Você utilizou este dispositivo em algum projeto?
>
> Obrigado,
> Chicolet
>
> *De:* Mike Tesliuk < mike em tesliuk.com<http://../../../undefined/compose?to=mike@tesliuk.com>>
> *Enviada:* Terça-feira, 24 de Setembro de 2013 14:40
> *Para:* asteriskbrasil em listas.asteriskbrasil.org<http://../../../undefined/compose?to=asteriskbrasil@listas.asteriskbrasil.org>
> *Assunto:* Re: [AsteriskBrasil] Tentativa de invasao
>
> apenas a titulo de curiosidade.
>
> http://www.pikatechnologies.com/english/view.asp?x=1294
>
> isso pode interessar para algumas pessoas
>
>
> Em 24/09/13 13:21, Thiago Anselmo escreveu:
>
> OK!!
>
> Irei fazer e depois envio para o pessoal e abro um tópico sobre isso!
>
>
> Em 24 de setembro de 2013 13:48, Hudson Cardoso <hudsoncardoso em hotmail.com
> > escreveu:
>
>>  IDEM ...
>>
>>
>> Hudson
>> (048) 8413-7000
>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>
>>  ------------------------------
>> Date: Tue, 24 Sep 2013 13:44:18 -0300
>> From: zeljunior em gmail.com
>>
>> To: asteriskbrasil em listas.asteriskbrasil.org
>> Subject: Re: [AsteriskBrasil] Tentativa de invasao
>>
>> Asterisk 1.8 na nuvem, máquina com IP público 201.X.X.X. utilizo Debian
>> Wheezy.
>> Em 24/09/2013 12:19, "Thiago Anselmo" <thiagoo.anselmoo em gmail.com>
>> escreveu:
>>
>> me digam qual seus cenários.
>>
>>
>> Em 24 de setembro de 2013 12:13, Elieser Junior <zeljunior em gmail.com>escreveu:
>>
>>  Thiago, seria interessante.
>> Se puder contribuir mais, agradecemos.
>>
>>
>>  Em 24 de setembro de 2013 12:05, Thiago Anselmo <
>> thiagoo.anselmoo em gmail.com> escreveu:
>>
>> Se tiveres um IP FIXO no seu PABX liberando apenas para sua operadora a
>> chance de ataque diminui 99% pois o resto nem um pacote ICMP vai deixar
>> passar!
>>
>> ;)
>>
>> Caso queiram posso fazer um mais elaborado e também com uma interface
>> gráfica para o shell usando, xdialog!
>>
>>
>>
>> Em 24 de setembro de 2013 12:00, Elieser Junior <zeljunior em gmail.com>escreveu:
>>
>>
>>  Muito bom Thiago, parabéns pela iniciativa.
>>
>>
>> Em 24 de setembro de 2013 11:59, Thiago Anselmo <
>> thiagoo.anselmoo em gmail.com>escreveu:
>>
>>  Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e
>> não IFGLOBAL...
>>
>>
>>
>> Em 24 de setembro de 2013 11:57, Thiago Anselmo <
>> thiagoo.anselmoo em gmail.com>escreveu:
>>
>>
>>
>> Guilherme e outros amigos que tenha realmente a necessidade de ter um IP
>> válido no seu asterisk use o seguinte firewall...
>>
>> #!/bin/bash
>>
>>  REDE_OPERADORA="X.X.X.X/32"
>> REDE_INTERNA="192.168.1.0/24"
>>
>> IFLOOPBACK="lo"
>> IFWAN="eth0"
>> IFLAN="eth1"
>>
>>
>> # [ CRIA NOVAS CHAINS ]
>>
>> iptables -N OPERADORA
>> iptables -N LAN
>>
>> # [ LIMPA TABELAS E CHAINS ]
>>
>> iptables -F
>> iptables -F OPERADORA
>> iptables -F LAN
>>
>> # [ INSERIR CHAINS NAS TABELAS ]
>>
>> iptables -A INPUT -j OPERADORA
>> iptables -A INPUT -j LAN
>>
>> # [ MODIFICA POLITICAS DE ACESSO ]
>>
>> iptables -P INPUT DROP
>> iptables -P FORWARD DROP
>> iptables -P OUTPUT ACCEPT
>>
>>
>> #---------------------------- [ INICIO TABELA LAN ]
>> ---------------------------#
>>
>> # LIBERA LOOPBACK
>> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT
>>
>> #---------------------------- [ INICIO TABELA LAN ]
>> ---------------------------#
>>
>> # LIBERA REDE LOCAL
>> iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT
>>
>> #---------------------------- [ INICIO TABELA OPERADORA ]
>> ---------------------------#
>>
>> # LIBERA CONSULTA DNS GOOGLE
>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT
>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT
>>
>> # LIBERA ASTERISK OPERADORA
>> iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 -j
>> ACCEPT
>> iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 -j
>> ACCEPT
>>
>> # LIBERA RTP OPERADORA
>> iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m multiport
>> --dport 10000:65535 -j ACCEPT
>> iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m multiport
>> --dport 10000:65535 -j ACCEPT
>>
>> OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua
>> operadora e seu PABX utilizam para aumentar a segurança!
>>
>> OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto
>> DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu
>> banco de dados mysql ou qualquer liberado para fora, não deixar a porta do
>> manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER
>> 100% confiavel...  E Deixar um Range de IP´S apenas do BR liberado na minha
>> visão, é deixar um rombo no seu firewall!!
>>
>> Bloquei tudo libere para quem tem acesso! Para ter um logo melhor
>> procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com
>> os logs de portas etc... "CUIDADO com o log pois poderás ter problema
>> dependendo a ação tomada"
>>
>> OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso
>> algum provedor utilize dominio ao invéis de IP.
>>
>> OBS4: Criamos Subtabelas de entrada apenas para quesito de organização do
>> firewall e visualização melhor.. mais pode ser substituidos tudo por INPUT
>> ;)
>>
>> Abraço.
>>
>>
>> Em 24 de setembro de 2013 11:26, jefaokpta <jefaokpta em hotmail.com>escreveu:
>>
>>
>> Obrigado por compartilhar Guilherme.
>>
>> Em 24-09-2013 09:32, Guilherme Rezende escreveu:
>> > #!/bin/bash
>> > ipt=/sbin/iptables
>> > $ipt -F
>> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
>> > $ipt -A INPUT -i eth2 -p udp -j DROP
>>  _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>> --
>> Thiago Anselmo
>>
>>
>>
>>
>> --
>> Thiago Anselmo
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>> --
>> Thiago Anselmo
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>> --
>> Thiago Anselmo
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>   _______________________________________________ KHOMP: completa linha
>> de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para
>> SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP.
>> Conhe�a em www.Khomp.com.
>> _______________________________________________ ALIGERA � Fabricante
>> nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e
>> 8E1 para PCI ou PCI Express. Channel Bank � Appliance Asterisk - Acesse
>> www.aligera.com.br. _______________________________________________ Para
>> remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> --
> Thiago Anselmo
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org <http://../undefined/compose?to=asteriskbrasil-unsubscribe@listas.asteriskbrasil.org>
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org <http://../../../undefined/compose?to=asteriskbrasil-unsubscribe@listas.asteriskbrasil.org>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 
Sylvio Jollenbeck
www.hosannatecnologia.com.br
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130925/0dc186e4/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil