[AsteriskBrasil] Tentativa de invasao

Marcelo Terres mhterres em gmail.com
Quarta Setembro 25 15:17:54 BRT 2013


Bacana.

O único problema que vejo é o bloqueio de IPs internos caso o usuário
digite errado a senha no seu cliente.

Mas neste caso creio que basta validar o IP antes de rodar o iptables, não
rodando o iptables caso ele faça parte da rede interna.

[]s

Marcelo H. Terres
mhterres em gmail.com
http://mundoopensource.blogspot.com
http://biertasters.blogspot.com
http://twitter.com/mhterres


2013/9/25 Sylvio Jollenbeck <sylvio.jollenbeck em gmail.com>

> Pessoal,
>
>    Utilizem a dica postada http://sb.eti.br/?p=13, isso vai acabar com o
> problema de invasão pelo SIP.
>
> Abs.
>
>
> Em 25 de setembro de 2013 14:51, chicolet <chicolet em bol.com.br> escreveu:
>
> Obrigado.
>>
>> Sds,
>> Chicolet
>>
>> ------------------------------
>>
>> *De:* Mike Tesliuk < mike em tesliuk.com >
>> *Enviada:* Quarta-feira, 25 de Setembro de 2013 10:44
>>
>> *Para:* asteriskbrasil em listas.asteriskbrasil.org
>> *Assunto:* Re: [AsteriskBrasil] Tentativa de invasao
>>
>>
>> Dae,
>>
>> Cara eu nao usei, na verdade a unica coisa que usei da Pika foi um driver
>> pra fax a muito tempo atrás, os caras são bons de suporte e pós venda.
>>
>> Quanto a troughtput e coisas do genero, da uma olhada porque eles sempre
>> fazem algum tipo de webinar para falar sobre o produto, eu penso que é algo
>> feito para um pabx e não para um sip proxy, então em teoria não deve ter
>> problema.
>>
>> Como eu disse, foi apenas para conhecimento mesmo que eu passei.
>>
>>
>> Eu essa parte eu tenho literalmente todos os meus servidores expostos na
>> internet, isso varia entre asterisk e opensips, basicamente eu tenho
>> firewall nestes caras, os meus opensips eu uso apenas para falar com
>> clientes ou operadoras com ip fixo então tudo é bloqueado por ip, mas
>> claro, existem muitas linhas de código no opensips para fazer a validação
>> do cliente, mesmo se ele estiver dentro de um ip liberado.
>>
>> talvez e xista alguma brecha ainda, mas ainda não encontramos, a maior
>> parte de falhas de segurança que temos é com senhas fracas ou coisas do
>> tipo.
>>
>>
>> uma coisa que faz toda a diferença é o username que voce cria,
>> dificilmente voce ve tentativa de login com username acima de 4 digitos, eu
>> utilizo 18 caracteres no username, 10 caracteres na senha (todos gerados de
>> forma aleatoria, nao permito o cliente definir a senha dele), no caso de
>> pabx ainda tem a questão de sempre utilizar senha para fazer as chamadas
>> porque mesmo que o cara consiga acesso a uma conta, ele ainda tem que
>> conseguir a senha, ai voce tem outros detalhes para minimizar impacto se
>> ainda assim voce for comprometido, como contas de usuários com saldo baixo,
>> limite na quantidade de chamadas simultaneas.
>>
>> Eu tenho que começar a fazer agora um script para havaliar o perfil de
>> ligação para detectar chamadas de perfil diferente, tipo , o cara só liga
>> pra brasil e ai começa a sair ligação pra cuba, china, ou sei la onde, isso
>> é fora do padrão, entao tem que ser alertado.
>>
>> Um outro detalhe também é não habilitar chamadas internacionais a menos
>> que seja realmente necessario, dificimente voce vai ver alguem falar que
>> sofreu invasao e o cara saiu ligando para numero no brasil.
>>
>>
>>
>> Em 25/09/13 08:56, chicolet escreveu:
>>
>> Mike Tesliuk,
>>
>> Bom dia.
>>
>> Muito interessante esse micro Firewall da Pika Technologies.
>>
>> Ele tem um bom throughput para evitar problemas na qualidade da voz?
>>
>> Você utilizou este dispositivo em algum projeto?
>>
>> Obrigado,
>> Chicolet
>>
>> *De:* Mike Tesliuk < mike em tesliuk.com<http://../../../undefined/compose?to=mike@tesliuk.com>>
>> *Enviada:* Terça-feira, 24 de Setembro de 2013 14:40
>> *Para:* asteriskbrasil em listas.asteriskbrasil.org<http://../../../undefined/compose?to=asteriskbrasil@listas.asteriskbrasil.org>
>> *Assunto:* Re: [AsteriskBrasil] Tentativa de invasao
>>
>> apenas a titulo de curiosidade.
>>
>> http://www.pikatechnologies.com/english/view.asp?x=1294
>>
>> isso pode interessar para algumas pessoas
>>
>>
>> Em 24/09/13 13:21, Thiago Anselmo escreveu:
>>
>> OK!!
>>
>> Irei fazer e depois envio para o pessoal e abro um tópico sobre isso!
>>
>>
>> Em 24 de setembro de 2013 13:48, Hudson Cardoso <
>> hudsoncardoso em hotmail.com> escreveu:
>>
>>>  IDEM ...
>>>
>>>
>>> Hudson
>>> (048) 8413-7000
>>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>>
>>>  ------------------------------
>>> Date: Tue, 24 Sep 2013 13:44:18 -0300
>>> From: zeljunior em gmail.com
>>>
>>> To: asteriskbrasil em listas.asteriskbrasil.org
>>> Subject: Re: [AsteriskBrasil] Tentativa de invasao
>>>
>>> Asterisk 1.8 na nuvem, máquina com IP público 201.X.X.X. utilizo Debian
>>> Wheezy.
>>> Em 24/09/2013 12:19, "Thiago Anselmo" <thiagoo.anselmoo em gmail.com>
>>> escreveu:
>>>
>>> me digam qual seus cenários.
>>>
>>>
>>> Em 24 de setembro de 2013 12:13, Elieser Junior <zeljunior em gmail.com>escreveu:
>>>
>>>  Thiago, seria interessante.
>>> Se puder contribuir mais, agradecemos.
>>>
>>>
>>>  Em 24 de setembro de 2013 12:05, Thiago Anselmo <
>>> thiagoo.anselmoo em gmail.com> escreveu:
>>>
>>> Se tiveres um IP FIXO no seu PABX liberando apenas para sua operadora a
>>> chance de ataque diminui 99% pois o resto nem um pacote ICMP vai deixar
>>> passar!
>>>
>>> ;)
>>>
>>> Caso queiram posso fazer um mais elaborado e também com uma interface
>>> gráfica para o shell usando, xdialog!
>>>
>>>
>>>
>>> Em 24 de setembro de 2013 12:00, Elieser Junior <zeljunior em gmail.com>escreveu:
>>>
>>>
>>>  Muito bom Thiago, parabéns pela iniciativa.
>>>
>>>
>>> Em 24 de setembro de 2013 11:59, Thiago Anselmo <
>>> thiagoo.anselmoo em gmail.com>escreveu:
>>>
>>>  Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e
>>> não IFGLOBAL...
>>>
>>>
>>>
>>> Em 24 de setembro de 2013 11:57, Thiago Anselmo <
>>> thiagoo.anselmoo em gmail.com>escreveu:
>>>
>>>
>>>
>>> Guilherme e outros amigos que tenha realmente a necessidade de ter um IP
>>> válido no seu asterisk use o seguinte firewall...
>>>
>>> #!/bin/bash
>>>
>>>  REDE_OPERADORA="X.X.X.X/32"
>>> REDE_INTERNA="192.168.1.0/24"
>>>
>>> IFLOOPBACK="lo"
>>> IFWAN="eth0"
>>> IFLAN="eth1"
>>>
>>>
>>> # [ CRIA NOVAS CHAINS ]
>>>
>>> iptables -N OPERADORA
>>> iptables -N LAN
>>>
>>> # [ LIMPA TABELAS E CHAINS ]
>>>
>>> iptables -F
>>> iptables -F OPERADORA
>>> iptables -F LAN
>>>
>>> # [ INSERIR CHAINS NAS TABELAS ]
>>>
>>> iptables -A INPUT -j OPERADORA
>>> iptables -A INPUT -j LAN
>>>
>>> # [ MODIFICA POLITICAS DE ACESSO ]
>>>
>>> iptables -P INPUT DROP
>>> iptables -P FORWARD DROP
>>> iptables -P OUTPUT ACCEPT
>>>
>>>
>>> #---------------------------- [ INICIO TABELA LAN ]
>>> ---------------------------#
>>>
>>> # LIBERA LOOPBACK
>>> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT
>>>
>>> #---------------------------- [ INICIO TABELA LAN ]
>>> ---------------------------#
>>>
>>> # LIBERA REDE LOCAL
>>> iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT
>>>
>>> #---------------------------- [ INICIO TABELA OPERADORA ]
>>> ---------------------------#
>>>
>>> # LIBERA CONSULTA DNS GOOGLE
>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT
>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT
>>>
>>> # LIBERA ASTERISK OPERADORA
>>> iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060
>>> -j ACCEPT
>>> iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060
>>> -j ACCEPT
>>>
>>> # LIBERA RTP OPERADORA
>>> iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m
>>> multiport --dport 10000:65535 -j ACCEPT
>>> iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m
>>> multiport --dport 10000:65535 -j ACCEPT
>>>
>>> OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua
>>> operadora e seu PABX utilizam para aumentar a segurança!
>>>
>>> OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto
>>> DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu
>>> banco de dados mysql ou qualquer liberado para fora, não deixar a porta do
>>> manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER
>>> 100% confiavel...  E Deixar um Range de IP´S apenas do BR liberado na minha
>>> visão, é deixar um rombo no seu firewall!!
>>>
>>> Bloquei tudo libere para quem tem acesso! Para ter um logo melhor
>>> procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com
>>> os logs de portas etc... "CUIDADO com o log pois poderás ter problema
>>> dependendo a ação tomada"
>>>
>>> OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso
>>> algum provedor utilize dominio ao invéis de IP.
>>>
>>> OBS4: Criamos Subtabelas de entrada apenas para quesito de organização
>>> do firewall e visualização melhor.. mais pode ser substituidos tudo por
>>> INPUT ;)
>>>
>>> Abraço.
>>>
>>>
>>> Em 24 de setembro de 2013 11:26, jefaokpta <jefaokpta em hotmail.com>escreveu:
>>>
>>>
>>> Obrigado por compartilhar Guilherme.
>>>
>>> Em 24-09-2013 09:32, Guilherme Rezende escreveu:
>>> > #!/bin/bash
>>> > ipt=/sbin/iptables
>>> > $ipt -F
>>> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
>>> > $ipt -A INPUT -i eth2 -p udp -j DROP
>>>  _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>>
>>> --
>>> Thiago Anselmo
>>>
>>>
>>>
>>>
>>> --
>>> Thiago Anselmo
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>>
>>> --
>>> Thiago Anselmo
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>>
>>> --
>>> Thiago Anselmo
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>   _______________________________________________ KHOMP: completa linha
>>> de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para
>>> SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP.
>>> Conhe�a em www.Khomp.com.
>>> _______________________________________________ ALIGERA � Fabricante
>>> nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e
>>> 8E1 para PCI ou PCI Express. Channel Bank � Appliance Asterisk - Acesse
>>> www.aligera.com.br. _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>> --
>> Thiago Anselmo
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org <http://../undefined/compose?to=asteriskbrasil-unsubscribe@listas.asteriskbrasil.org>
>>
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org <http://../../../undefined/compose?to=asteriskbrasil-unsubscribe@listas.asteriskbrasil.org>
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> --
> Sylvio Jollenbeck
> www.hosannatecnologia.com.br
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130925/6a65292d/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil