[AsteriskBrasil] Segurança no Asterisk

Eduardo Boabaid eduardo.boabaid em gmail.com
Sexta Abril 8 16:56:25 BRT 2016


Hudson,

Esse método é interessante.
Só faltou falar pra habilitar o allowguest pra funcionar.

Só que não resolveria para tentativas de brute-force de senhas, confere?


Sent with MailTrack
<https://mailtrack.io/install?source=signature&lang=en&referral=eduardo.boabaid@gmail.com&idSignature=22>

Em 8 de abril de 2016 14:17, Hudson Cardoso <hudsoncardoso at hotmail.com>
escreveu:

> Realmente, chamar outros processos dentro do sistema não é muito bom,
> principalmente em alto tráfego.
> Para diminuir os ataques, fiz isso dentro do contexto default do asterisk,
> resolveu quase 99%.
> Deve ainda ter mais furos, que ainda vou descobrir, seu comentário foi mui
> proveitoso.
>
>             if(${EXTEN}>10000)
>                             {answer;
>                              noop(tentativa de invasao de : ${peerip},
> discando ${EXTEN});
>                              noop(desligando e colocando o invasor no
> iptables ip = ${CHANNEL(peerip)} );
>                              system(sbin/iptables -I INPUT -s
> ${CHANNEL(peerip)} -j DROP);
>                              hangup;
>                             }
>            // caso ele acerte um numero de conta, mas com senha errada
>           answer;
>           playback(/etc/asterisk/sounds/invasao);}
>            hangup;
>
>
> Hudson
> (048) 8413-7000
> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>
>
>
> ------------------------------
> From: alexandre.alencar at gmail.com
> Date: Thu, 7 Apr 2016 19:50:24 -0300
> To: asteriskbrasil at listas.asteriskbrasil.org
> Subject: Re: [AsteriskBrasil] Segurança no Asterisk
>
>
> Pessoal,
>
> É impressão minha ou este FAL astSBC que estão "endeusando" nada mais é do
> que uma tremenda gambiarra?
>
> Mudança a ser executada no chan_sip.c como indicado no README.md presente
> no GitHub:
>
>              /* Bloqueio de Ramais SIP*/
>              char block_str[256];
>              strcpy(block_str, "/etc/asterisk/sip_security.sh ");
>              strcat(block_str, ast_sockaddr_stringify(addr));
>              system(block_str);
>
> Caramba! Uma chamada system, script bash sendo executado com privilégio de
> root (um dos processos é chamado pelo rc.local), strcat/strcpy sem checagem
> de bounds... sem contar que será extremamente lento (criar processo,
> iniciar o bash, executar o script, que irá lançar outro ciclo de processo
> para rodar o iptables, para finalmente lançar uma regra no NetFilter)...
>
> No GitHub, há apenas um README.md, esses scripts bash são particulares, ou
> é possível obtê-los publicamente para análise?
>
> Se um NetFilter (iptables não é packet filter, é apenas uma ferramenta
> para administrar o NetFilter) configurado adequadamente, além de todos os
> demais aspectos que envolvem a segurança de um sistema Linux e do Asterisk
> não atendem suas necessidades de segurança, adicionar um novo elemento
> (como um SBC), apenas trará mais um elemento para também precisar ser
> configurado adequadamente para prover segurança.
>
> Exemplo:
>
> Cenários:
> 1. Linux/NetFilter --- Internet
> 2. Linux --- [Firewall <sua marca preferida aqui>] --- Internet
>
> O cenário 2 não é mais seguro que o cenário um, pela simples presença do
> dispositivo [Firewall <sua marca preferida aqui>], basicamente, agora terá
> dois sistemas distintos a serem configurados adequadamente para que possam
> desempenhar suas funções de forma segura. Não sei a que ponto acompanham as
> notícias da área de segurança, mas ultimamente, os salvadores [Firewall
> <sua marca preferida aqui>] passaram de solução a problema, com os inúmeros
> bugs sérios de segurança e backdoors builtin.
>
> Sds
>
> Alexandre Alencar
> Twitter @alexandreitpro
> http://blog.alexandrealencar.net/
> http://www.alexandrealencar.net/
> http://www.alexandrealencar.com
> http://www.servicosdeti.com.br/
> COBIT, ITIL, CSM, LPI, MCP-I
>
>
> 2016-02-27 16:32 GMT-03:00 Gerson Raymond <geraymond at gmail.com>:
>
> Pequena Sugestão:
>
> Vyatta
>
>
> https://community.brocade.com/dtscp75322/attachments/dtscp75322/SoftwareNetworking/14/1/Vyatta_Firewall_Best_Practices.pdf
>
>
> https://www.vivaolinux.com.br/artigo/Vyatta-o-concorrente-livre-dos-roteadores-Cisco?pagina=6
>
>
> http://pplware.sapo.pt/tutoriais/networking/vyatta-transforme-o-seu-pc-num-routerfirewall-parteii/
>
>
>
>
>
> Em 21 de fevereiro de 2016 19:17, Bruno Correia <
> brunogomescorreia at gmail.com> escreveu:
>
> Asterisk puro com freepbx por cima fica um pouco mais enxuto.
>
> Sobre a questão da VPN, que alguns colegas comentaram sobre custo e o
> usuário ter de conectar "na mão".
>
> O caso que utilizo aqui é com uma pequena RB750 com OpenWRT + OpenVPN,
> mando o roteador pré-configurado (conecta-se a VPN e recebe as rotas dos
> demais lugares via iBGP, uso o quagga neles) para a localidade que vai ser
> necessário o uso dos ramais. Só identifico a porta "WAN" e "LAN", então em
> qualquer situação que ele (um leigo faz a conexão no local) conecte um cabo
> na interface WAN e na rede tenho no mínimo o servidor DHCP que entregue as
> definições de rede e esta esteja com acesso a internet a RB750 subirá na
> VPN e o que estiver "atrás" dela conseguirá registrar os ramais através da
> mesma.
>
> Em 20-02-2016 10:49, Judson Júnior escreveu:
>
>
> Pode ser mesmo, Delphini. Acho que tens experiência o suficiente para
> colocar na balança os prós e os contras do Elastix, mesmo que no seu modo
> de ver só exista os contras rsrsrsrs.
>
> Mesmo assim fiquei curioso para saber como um Elastix poderia ser alvo de
> Phreaker por traz de um firewall barrando tudo. Não estou falando de fogo
> amigo, de dentro da rede, falo do cara de fora. Um cenário onde as chamadas
> são completadas apenas por E1 e conexões remotas cheguem apenas por VPN.
>
> Já usei Asterisk puro em um projeto pessoal. Fica mais leve, mais fácil de
> configurar. Usei num projeto chamado Joyphone, tem um vídeo no YouTube.
>
> Não é questão de ser "bom" o bastante para usar sem interface gráfica, nem
> de respeito próprio ou com o cliente. Se você me fornecer algo mais simples
> de administrar, onde eu consiga fazer um senhor de 60 anos adicionar e
> remover ramais, gerar relatórios das chamadas ou montar uma URA simples com
> meia dúzia de cliques ficarei eternamente grato. Falo sério.
>
> Onde eu trabalho várias pessoas precisam acessar o PABX para fazer
> pequenas intervenções. Não pode ser só o especialista. Tem que ser amigável
> mesmo, não tem outro jeito. O que você sugere no lugar do Elastix e por
> qual motivo?
>
>
>
>
>
>
>
> Em 19 de fevereiro de 2016 14:59, Jefferson Alves Reis <
> jefferson at jpbx.com.br> escreveu:
>
> Calma professor rs.
> Deve ter pessoas q conseguem implementar elastix ou snep com um mínimo de
> segurança.
>
> Paz.
>
> Flws
> ------------------------------
> <http://www.jpbx.com.br>
> ------------------------------
> Em 19-02-2016 10:51, Angelo Delphini™ escreveu:
>
> Putz eu só entro em roubada aqui... Me desculpe mas você já está
> equivocado pois Elastix é sinônimo de "Venha PHERKERS (Craker de Telefonia)
> seja feita a sua vontade!".
>
> Pois bem, (Putz agora vão me matar!) na minha opinião quem usa Elastix não
> tem respeito PRÓPRIO  e nem com o CLIENTE!.
>
> Você é bom ? Então use uma solução em Asterisk boa!,
>
> Quer ser livre ? Use AstSBC da FAL... Uma solução desenvolvida por uma
> equipe de seguranças certificados em SIP Security da FAL Academy.
>
> Quer brincar de se MOLEQUE, use Elastix.
>
> Quer usar ambiente GRÁFICO por que tem medo de quebrar as UNHAS escrevendo
> código ?
>
> Então use SNEP!! 100% Nacional e com um dos maiores nomes em tecnologias
> associadas por traz, KHOMP!
>
>
> --
> Angelo de Barros Delphini - dCAA, dCAI, dCAI-TPT, dCSP-C, dCSE-C e dSSE.
> Linux User #472499 | Ubuntu User #22452
>
> [image: Perfil Angelo Delphini] <http://www.linkedin.com/in/delphini>
>    _
>   °v°         Asterisk Libre
>  /(_)\  <http://www.asterisklibre.org/>http://www.asterisklibre.org/
>   ^ ^
>  Seja livre, use Asterisk Puro!
>  --------------------------
>  Open Source \o/\o/ - Milhares de mentes abertas não podem estar enganadas!
>
>
>
>
> * Pense bem antes de imprimir Você esta preservando a natureza, as árvores
> agradecem! *
>
> Em 18 de fevereiro de 2016 16:42, Elieser Junior <zeljunior at gmail.com>
> escreveu:
>
> Manda seu contato pra lhe adicionar na comunidade da FAL. Precisa ter o
> telegram instalado no PC ou no celular
> Em 18 de fev de 2016 2:15 PM, "Judson Júnior" <judson.jcj at gmail.com>
> escreveu:
>
> Olá Elieser. AstSBC da FAL? Link please...
>
> Em 18 de fevereiro de 2016 09:47, Elieser Junior <zeljunior at gmail.com>
> escreveu:
>
> Utiliza Asterisk puro com o AstSBC da FAL, segurança total!
> Em 17 de fev de 2016 9:58 PM, "Judson Júnior" <judson.jcj at gmail.com>
> escreveu:
>
> Senhores,
>
> Gostaria de colocar um pouco (ou melhor, bastante) de segurança nas minhas
> instalações Asterisk. Escolhi usar o Elastix 2.5.0.
>
> Tendo isso em mente, penso no Fail2Ban + iptables como primeiro passo, mas
> não parar aí. Já li que a segurança dessa dupla sobre o Asterisk não é
> muito boa.
>
> Para onde deve mirar? Será o caso de Session Border Controller com
> OpenSIPs ou Blox?
>
> Para um Asterisk que vai ter um tronco SIP com alguma operadora com número
> remoto, remais instalados em Smartfones acessando meu Asterisk, o que vocês
> recomendam?
>
> Por enquanto não é o objetivo usar SRTP. Quero me limitar à evitar invasão
> do PABX e ligações não autorizadas.
>
> Obrigado.
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
>
> --
> <http://br.linkedin.com/in/brunocorr> * Bruno Correia*
> Network Analyst
> Information Security Specialist
> (83) 98812-2235
> (83) 99862-0224
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
>
>
>
> --
>    _
>   °v°   Gerson Raymond
>  /(S)\   Linux user: # 448673
>   ^ ^    Asterisk user. # 1113
>
> Especialista em Segurança em Tecnologia da Informação | Bacharel em
> Ciência da Computação | Técnico em Telecomunicações | Técnico em Eletrônica
>
> Livros Publicados:
>
> BackTrack Linux - Auditoria e Teste de Invasão em Redes de Computadores
>
> Kali Linux - Introdução ao Penetration Testing
>
> Cloud Computing - Data Center Virtualizado - Gerenciamento, Monitoramneto
> e Segurança
>
>
> Sites:* www.grsecurity.com.br <http://www.grsecurity.com.br>* |
> www.ethicalhacker.com.br
>
> E-mails: gerson at grsecurity.com.br | gerson at ethicalhacker.com.br
> <gerson at backtrackbrasil.com.br>
>
> Grsecurity - "Inovando com Segurança"
>
> "Porque melhor é a sabedoria do que os rubis; e tudo o que mais se deseja
> não se pode comparar com ela." - Provérbios 8:11
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
>
>
> _______________________________________________ KHOMP: completa linha de
> placas externas FXO, FXS, GSM e E1 Media Gateways de 1 a 64 E1s para SIP
> com R2, ISDN e SS7 Intercomunicador e acesso remoto via rede IP e telefones
> IP Conhe�a todo o portf�lio em www.Khomp.com
> _______________________________________________ Para remover seu email
> desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160408/36688350/attachment-0002.html>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160408/36688350/attachment-0003.html>


Mais detalhes sobre a lista de discussão AsteriskBrasil