[AsteriskBrasil] Segurança no Asterisk
Anderson Freitas
tmsi.freitas em gmail.com
Sábado Abril 9 00:16:31 BRT 2016
Peguei o trem andando, mas aqui coloco minha opinião.
Da pra colocar um ambiente com Snep + Khomp e deixar ele seguro. Na empresa
que trabalho, temos mais de 150 centrais com Snep, a incidência de ataque é
baixíssima.
Além de ser um produto 100% nacional, é fácil de mexer, tem uma usabilidade
boa (principalmente na versão 3.0). Enfim, sou novo na área se comparado
aos senhores, mas da pra ter um ambiente VoIP sem muitas "engenhocas",
simplesmente fazendo o feijão com arroz :)
Dicas básicas que já ajudam bastante:
- Acesso somente via chave ssh
- Alterar porta padrão do SSH e demais serviços
- Desabilitar serviços que não utilizados (Bind, Postfix e afins)
- Fail2Ban (bem configurado)
- Evitar ramais remotos (Se houver, existem alguns cuidados básicos que
evitam dor de cabeça)
Longe de mim querer bancar o deus da telefonia, mas o Snep tem relatórios e
é fácil de usar. Sempre que falo de Snep, comparam ao Elastix e falam que o
Snep não permite fazer URA via interface, o que é uma verdade, mas como
disse o Delphini, um pouco de código não irá quebrar as unhas (Sem falar
que hoje na internet tem uma pá de conteúdo).
Emfim, existem muitas plataformas, mas se for pra usar uma interface, dê
preferência para o que é desenvolvido por aqui, fortalece o software livre
local.
*A. Freitas*
Técnico em Telecomunicações | Linux user: #566437
Mobile: <48%209845-8568>48 9845-8 <48%209902-5574>568
Email: <tmsi.freitas em gmail.com>tmsi.freitas em gmail.com
Blog: <http://dialplanreload.blogspot.com/>
http://dialplanreload.blogspot.com
Skype: dialplan.reload
<http://br.linkedin.com/in/dialplanreload>
<http://www.facebook.com/andy.freitas07>
<http://twitter.com/DialplanReload>
<http://plus.google.com/+AndersonFreitas_DialplanReload/posts>
Em 8 de abril de 2016 16:56, Eduardo Boabaid <eduardo.boabaid em gmail.com>
escreveu:
> Hudson,
>
> Esse método é interessante.
> Só faltou falar pra habilitar o allowguest pra funcionar.
>
> Só que não resolveria para tentativas de brute-force de senhas, confere?
>
>
> Sent with MailTrack
> <https://mailtrack.io/install?source=signature&lang=en&referral=eduardo.boabaid@gmail.com&idSignature=22>
>
> Em 8 de abril de 2016 14:17, Hudson Cardoso <hudsoncardoso em hotmail.com>
> escreveu:
>
>> Realmente, chamar outros processos dentro do sistema não é muito bom,
>> principalmente em alto tráfego.
>> Para diminuir os ataques, fiz isso dentro do contexto default do
>> asterisk, resolveu quase 99%.
>> Deve ainda ter mais furos, que ainda vou descobrir, seu comentário foi
>> mui proveitoso.
>>
>> if(${EXTEN}>10000)
>> {answer;
>> noop(tentativa de invasao de : ${peerip},
>> discando ${EXTEN});
>> noop(desligando e colocando o invasor no
>> iptables ip = ${CHANNEL(peerip)} );
>> system(sbin/iptables -I INPUT -s
>> ${CHANNEL(peerip)} -j DROP);
>> hangup;
>> }
>> // caso ele acerte um numero de conta, mas com senha errada
>> answer;
>> playback(/etc/asterisk/sounds/invasao);}
>> hangup;
>>
>>
>> Hudson
>> (048) 8413-7000
>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>
>>
>>
>> ------------------------------
>> From: alexandre.alencar em gmail.com
>> Date: Thu, 7 Apr 2016 19:50:24 -0300
>> To: asteriskbrasil em listas.asteriskbrasil.org
>> Subject: Re: [AsteriskBrasil] Segurança no Asterisk
>>
>>
>> Pessoal,
>>
>> É impressão minha ou este FAL astSBC que estão "endeusando" nada mais é
>> do que uma tremenda gambiarra?
>>
>> Mudança a ser executada no chan_sip.c como indicado no README.md presente
>> no GitHub:
>>
>> /* Bloqueio de Ramais SIP*/
>> char block_str[256];
>> strcpy(block_str, "/etc/asterisk/sip_security.sh ");
>> strcat(block_str, ast_sockaddr_stringify(addr));
>> system(block_str);
>>
>> Caramba! Uma chamada system, script bash sendo executado com privilégio
>> de root (um dos processos é chamado pelo rc.local), strcat/strcpy sem
>> checagem de bounds... sem contar que será extremamente lento (criar
>> processo, iniciar o bash, executar o script, que irá lançar outro ciclo de
>> processo para rodar o iptables, para finalmente lançar uma regra no
>> NetFilter)...
>>
>> No GitHub, há apenas um README.md, esses scripts bash são particulares,
>> ou é possível obtê-los publicamente para análise?
>>
>> Se um NetFilter (iptables não é packet filter, é apenas uma ferramenta
>> para administrar o NetFilter) configurado adequadamente, além de todos os
>> demais aspectos que envolvem a segurança de um sistema Linux e do Asterisk
>> não atendem suas necessidades de segurança, adicionar um novo elemento
>> (como um SBC), apenas trará mais um elemento para também precisar ser
>> configurado adequadamente para prover segurança.
>>
>> Exemplo:
>>
>> Cenários:
>> 1. Linux/NetFilter --- Internet
>> 2. Linux --- [Firewall <sua marca preferida aqui>] --- Internet
>>
>> O cenário 2 não é mais seguro que o cenário um, pela simples presença do
>> dispositivo [Firewall <sua marca preferida aqui>], basicamente, agora terá
>> dois sistemas distintos a serem configurados adequadamente para que possam
>> desempenhar suas funções de forma segura. Não sei a que ponto acompanham as
>> notícias da área de segurança, mas ultimamente, os salvadores [Firewall
>> <sua marca preferida aqui>] passaram de solução a problema, com os inúmeros
>> bugs sérios de segurança e backdoors builtin.
>>
>> Sds
>>
>> Alexandre Alencar
>> Twitter @alexandreitpro
>> http://blog.alexandrealencar.net/
>> http://www.alexandrealencar.net/
>> http://www.alexandrealencar.com
>> http://www.servicosdeti.com.br/
>> COBIT, ITIL, CSM, LPI, MCP-I
>>
>>
>> 2016-02-27 16:32 GMT-03:00 Gerson Raymond <geraymond em gmail.com>:
>>
>> Pequena Sugestão:
>>
>> Vyatta
>>
>>
>> https://community.brocade.com/dtscp75322/attachments/dtscp75322/SoftwareNetworking/14/1/Vyatta_Firewall_Best_Practices.pdf
>>
>>
>> https://www.vivaolinux.com.br/artigo/Vyatta-o-concorrente-livre-dos-roteadores-Cisco?pagina=6
>>
>>
>> http://pplware.sapo.pt/tutoriais/networking/vyatta-transforme-o-seu-pc-num-routerfirewall-parteii/
>>
>>
>>
>>
>>
>> Em 21 de fevereiro de 2016 19:17, Bruno Correia <
>> brunogomescorreia em gmail.com> escreveu:
>>
>> Asterisk puro com freepbx por cima fica um pouco mais enxuto.
>>
>> Sobre a questão da VPN, que alguns colegas comentaram sobre custo e o
>> usuário ter de conectar "na mão".
>>
>> O caso que utilizo aqui é com uma pequena RB750 com OpenWRT + OpenVPN,
>> mando o roteador pré-configurado (conecta-se a VPN e recebe as rotas dos
>> demais lugares via iBGP, uso o quagga neles) para a localidade que vai ser
>> necessário o uso dos ramais. Só identifico a porta "WAN" e "LAN", então em
>> qualquer situação que ele (um leigo faz a conexão no local) conecte um cabo
>> na interface WAN e na rede tenho no mínimo o servidor DHCP que entregue as
>> definições de rede e esta esteja com acesso a internet a RB750 subirá na
>> VPN e o que estiver "atrás" dela conseguirá registrar os ramais através da
>> mesma.
>>
>> Em 20-02-2016 10:49, Judson Júnior escreveu:
>>
>>
>> Pode ser mesmo, Delphini. Acho que tens experiência o suficiente para
>> colocar na balança os prós e os contras do Elastix, mesmo que no seu modo
>> de ver só exista os contras rsrsrsrs.
>>
>> Mesmo assim fiquei curioso para saber como um Elastix poderia ser alvo de
>> Phreaker por traz de um firewall barrando tudo. Não estou falando de fogo
>> amigo, de dentro da rede, falo do cara de fora. Um cenário onde as chamadas
>> são completadas apenas por E1 e conexões remotas cheguem apenas por VPN.
>>
>> Já usei Asterisk puro em um projeto pessoal. Fica mais leve, mais fácil
>> de configurar. Usei num projeto chamado Joyphone, tem um vídeo no YouTube.
>>
>> Não é questão de ser "bom" o bastante para usar sem interface gráfica,
>> nem de respeito próprio ou com o cliente. Se você me fornecer algo mais
>> simples de administrar, onde eu consiga fazer um senhor de 60 anos
>> adicionar e remover ramais, gerar relatórios das chamadas ou montar uma URA
>> simples com meia dúzia de cliques ficarei eternamente grato. Falo sério.
>>
>> Onde eu trabalho várias pessoas precisam acessar o PABX para fazer
>> pequenas intervenções. Não pode ser só o especialista. Tem que ser amigável
>> mesmo, não tem outro jeito. O que você sugere no lugar do Elastix e por
>> qual motivo?
>>
>>
>>
>>
>>
>>
>>
>> Em 19 de fevereiro de 2016 14:59, Jefferson Alves Reis <
>> jefferson em jpbx.com.br> escreveu:
>>
>> Calma professor rs.
>> Deve ter pessoas q conseguem implementar elastix ou snep com um mínimo de
>> segurança.
>>
>> Paz.
>>
>> Flws
>> ------------------------------
>> <http://www.jpbx.com.br>
>> ------------------------------
>> Em 19-02-2016 10:51, Angelo Delphini™ escreveu:
>>
>> Putz eu só entro em roubada aqui... Me desculpe mas você já está
>> equivocado pois Elastix é sinônimo de "Venha PHERKERS (Craker de Telefonia)
>> seja feita a sua vontade!".
>>
>> Pois bem, (Putz agora vão me matar!) na minha opinião quem usa Elastix
>> não tem respeito PRÓPRIO e nem com o CLIENTE!.
>>
>> Você é bom ? Então use uma solução em Asterisk boa!,
>>
>> Quer ser livre ? Use AstSBC da FAL... Uma solução desenvolvida por uma
>> equipe de seguranças certificados em SIP Security da FAL Academy.
>>
>> Quer brincar de se MOLEQUE, use Elastix.
>>
>> Quer usar ambiente GRÁFICO por que tem medo de quebrar as UNHAS
>> escrevendo código ?
>>
>> Então use SNEP!! 100% Nacional e com um dos maiores nomes em tecnologias
>> associadas por traz, KHOMP!
>>
>>
>> --
>> Angelo de Barros Delphini - dCAA, dCAI, dCAI-TPT, dCSP-C, dCSE-C e dSSE.
>> Linux User #472499 | Ubuntu User #22452
>>
>> [image: Perfil Angelo Delphini] <http://www.linkedin.com/in/delphini>
>> _
>> °v° Asterisk Libre
>> /(_)\ <http://www.asterisklibre.org/>http://www.asterisklibre.org/
>> ^ ^
>> Seja livre, use Asterisk Puro!
>> --------------------------
>> Open Source \o/\o/ - Milhares de mentes abertas não podem estar
>> enganadas!
>>
>>
>>
>>
>> * Pense bem antes de imprimir Você esta preservando a natureza, as
>> árvores agradecem! *
>>
>> Em 18 de fevereiro de 2016 16:42, Elieser Junior <zeljunior em gmail.com>
>> escreveu:
>>
>> Manda seu contato pra lhe adicionar na comunidade da FAL. Precisa ter o
>> telegram instalado no PC ou no celular
>> Em 18 de fev de 2016 2:15 PM, "Judson Júnior" <judson.jcj em gmail.com>
>> escreveu:
>>
>> Olá Elieser. AstSBC da FAL? Link please...
>>
>> Em 18 de fevereiro de 2016 09:47, Elieser Junior <zeljunior em gmail.com>
>> escreveu:
>>
>> Utiliza Asterisk puro com o AstSBC da FAL, segurança total!
>> Em 17 de fev de 2016 9:58 PM, "Judson Júnior" <judson.jcj em gmail.com>
>> escreveu:
>>
>> Senhores,
>>
>> Gostaria de colocar um pouco (ou melhor, bastante) de segurança nas
>> minhas instalações Asterisk. Escolhi usar o Elastix 2.5.0.
>>
>> Tendo isso em mente, penso no Fail2Ban + iptables como primeiro passo,
>> mas não parar aí. Já li que a segurança dessa dupla sobre o Asterisk não é
>> muito boa.
>>
>> Para onde deve mirar? Será o caso de Session Border Controller com
>> OpenSIPs ou Blox?
>>
>> Para um Asterisk que vai ter um tronco SIP com alguma operadora com
>> número remoto, remais instalados em Smartfones acessando meu Asterisk, o
>> que vocês recomendam?
>>
>> Por enquanto não é o objetivo usar SRTP. Quero me limitar à evitar
>> invasão do PABX e ligações não autorizadas.
>>
>> Obrigado.
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>> --
>> <http://br.linkedin.com/in/brunocorr> * Bruno Correia*
>> Network Analyst
>> Information Security Specialist
>> (83) 98812-2235
>> (83) 99862-0224
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>> --
>> _
>> °v° Gerson Raymond
>> /(S)\ Linux user: # 448673
>> ^ ^ Asterisk user. # 1113
>>
>> Especialista em Segurança em Tecnologia da Informação | Bacharel em
>> Ciência da Computação | Técnico em Telecomunicações | Técnico em Eletrônica
>>
>> Livros Publicados:
>>
>> BackTrack Linux - Auditoria e Teste de Invasão em Redes de Computadores
>>
>> Kali Linux - Introdução ao Penetration Testing
>>
>> Cloud Computing - Data Center Virtualizado - Gerenciamento, Monitoramneto
>> e Segurança
>>
>>
>> Sites:* www.grsecurity.com.br <http://www.grsecurity.com.br>* |
>> www.ethicalhacker.com.br
>>
>> E-mails: gerson em grsecurity.com.br | gerson em ethicalhacker.com.br
>> <gerson em backtrackbrasil.com.br>
>>
>> Grsecurity - "Inovando com Segurança"
>>
>> "Porque melhor é a sabedoria do que os rubis; e tudo o que mais se deseja
>> não se pode comparar com ela." - Provérbios 8:11
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________ KHOMP: completa linha de
>> placas externas FXO, FXS, GSM e E1 Media Gateways de 1 a 64 E1s para SIP
>> com R2, ISDN e SS7 Intercomunicador e acesso remoto via rede IP e telefones
>> IP Conhe�a todo o portf�lio em www.Khomp.com
>> _______________________________________________ Para remover seu email
>> desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/c3cdb654/attachment-0002.html>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/c3cdb654/attachment-0003.html>
Mais detalhes sobre a lista de discussão AsteriskBrasil