[AsteriskBrasil] Segurança no Asterisk

Claudemir de almeida rosa claudemir.ar em gmail.com
Sábado Abril 9 19:32:41 BRT 2016


Desenvolvi muitas coisa para o snep inclusive uma interface de ura dinamica
,gráficos e etc.
Infelizmente insistiram para mandar o código mesmo sem revisão, não recebi
resposta até hoje mas colocaram as alterações no help que eu desenvolvi
mesmo não dando créditos.


Att

Claudemir


Em 9 de abril de 2016 00:16, Anderson Freitas <tmsi.freitas at gmail.com>
escreveu:

> Peguei o trem andando, mas aqui coloco minha opinião.
>
> Da pra colocar um ambiente com Snep + Khomp e deixar ele seguro. Na
> empresa que trabalho, temos mais de 150 centrais com Snep, a incidência de
> ataque é baixíssima.
>
> Além de ser um produto 100% nacional, é fácil de mexer, tem uma
> usabilidade boa (principalmente na versão 3.0). Enfim, sou novo na área se
> comparado aos senhores, mas da pra ter um ambiente VoIP sem muitas
> "engenhocas", simplesmente fazendo o feijão com arroz :)
>
> Dicas básicas que já ajudam bastante:
>
>    - Acesso somente via chave ssh
>    - Alterar porta padrão do SSH e demais serviços
>    - Desabilitar serviços que não utilizados (Bind, Postfix e afins)
>    - Fail2Ban (bem configurado)
>    - Evitar ramais remotos (Se houver, existem alguns cuidados básicos
>    que evitam dor de cabeça)
>
> Longe de mim querer bancar o deus da telefonia, mas o Snep tem relatórios
> e é fácil de usar. Sempre que falo de Snep, comparam ao Elastix e falam que
> o Snep não permite fazer URA via interface, o que é uma verdade, mas como
> disse o Delphini, um pouco de código não irá quebrar as unhas (Sem falar
> que hoje na internet tem uma pá de conteúdo).
>
> Emfim, existem muitas plataformas, mas se for pra usar uma interface, dê
> preferência para o que é desenvolvido por aqui, fortalece o software livre
> local.
>
>
> *A. Freitas*
> Técnico em Telecomunicações | Linux user: #566437
>
> Mobile:  <48%209845-8568>48 9845-8 <48%209902-5574>568
> Email:  <tmsi.freitas at gmail.com>tmsi.freitas at gmail.com
> Blog:  <http://dialplanreload.blogspot.com/>
> http://dialplanreload.blogspot.com
> Skype: dialplan.reload
> <http://br.linkedin.com/in/dialplanreload>
> <http://www.facebook.com/andy.freitas07>
> <http://twitter.com/DialplanReload>
> <http://plus.google.com/+AndersonFreitas_DialplanReload/posts>
>
> Em 8 de abril de 2016 16:56, Eduardo Boabaid <eduardo.boabaid at gmail.com>
> escreveu:
>
>> Hudson,
>>
>> Esse método é interessante.
>> Só faltou falar pra habilitar o allowguest pra funcionar.
>>
>> Só que não resolveria para tentativas de brute-force de senhas, confere?
>>
>>
>> Sent with MailTrack
>> <https://mailtrack.io/install?source=signature&lang=en&referral=eduardo.boabaid@gmail.com&idSignature=22>
>>
>> Em 8 de abril de 2016 14:17, Hudson Cardoso <hudsoncardoso at hotmail.com>
>> escreveu:
>>
>>> Realmente, chamar outros processos dentro do sistema não é muito bom,
>>> principalmente em alto tráfego.
>>> Para diminuir os ataques, fiz isso dentro do contexto default do
>>> asterisk, resolveu quase 99%.
>>> Deve ainda ter mais furos, que ainda vou descobrir, seu comentário foi
>>> mui proveitoso.
>>>
>>>             if(${EXTEN}>10000)
>>>                             {answer;
>>>                              noop(tentativa de invasao de : ${peerip},
>>> discando ${EXTEN});
>>>                              noop(desligando e colocando o invasor no
>>> iptables ip = ${CHANNEL(peerip)} );
>>>                              system(sbin/iptables -I INPUT -s
>>> ${CHANNEL(peerip)} -j DROP);
>>>                              hangup;
>>>                             }
>>>            // caso ele acerte um numero de conta, mas com senha errada
>>>           answer;
>>>           playback(/etc/asterisk/sounds/invasao);}
>>>            hangup;
>>>
>>>
>>> Hudson
>>> (048) 8413-7000
>>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>>
>>>
>>>
>>> ------------------------------
>>> From: alexandre.alencar at gmail.com
>>> Date: Thu, 7 Apr 2016 19:50:24 -0300
>>> To: asteriskbrasil at listas.asteriskbrasil.org
>>> Subject: Re: [AsteriskBrasil] Segurança no Asterisk
>>>
>>>
>>> Pessoal,
>>>
>>> É impressão minha ou este FAL astSBC que estão "endeusando" nada mais é
>>> do que uma tremenda gambiarra?
>>>
>>> Mudança a ser executada no chan_sip.c como indicado no README.md
>>> presente no GitHub:
>>>
>>>              /* Bloqueio de Ramais SIP*/
>>>              char block_str[256];
>>>              strcpy(block_str, "/etc/asterisk/sip_security.sh ");
>>>              strcat(block_str, ast_sockaddr_stringify(addr));
>>>              system(block_str);
>>>
>>> Caramba! Uma chamada system, script bash sendo executado com privilégio
>>> de root (um dos processos é chamado pelo rc.local), strcat/strcpy sem
>>> checagem de bounds... sem contar que será extremamente lento (criar
>>> processo, iniciar o bash, executar o script, que irá lançar outro ciclo de
>>> processo para rodar o iptables, para finalmente lançar uma regra no
>>> NetFilter)...
>>>
>>> No GitHub, há apenas um README.md, esses scripts bash são particulares,
>>> ou é possível obtê-los publicamente para análise?
>>>
>>> Se um NetFilter (iptables não é packet filter, é apenas uma ferramenta
>>> para administrar o NetFilter) configurado adequadamente, além de todos os
>>> demais aspectos que envolvem a segurança de um sistema Linux e do Asterisk
>>> não atendem suas necessidades de segurança, adicionar um novo elemento
>>> (como um SBC), apenas trará mais um elemento para também precisar ser
>>> configurado adequadamente para prover segurança.
>>>
>>> Exemplo:
>>>
>>> Cenários:
>>> 1. Linux/NetFilter --- Internet
>>> 2. Linux --- [Firewall <sua marca preferida aqui>] --- Internet
>>>
>>> O cenário 2 não é mais seguro que o cenário um, pela simples presença do
>>> dispositivo [Firewall <sua marca preferida aqui>], basicamente, agora terá
>>> dois sistemas distintos a serem configurados adequadamente para que possam
>>> desempenhar suas funções de forma segura. Não sei a que ponto acompanham as
>>> notícias da área de segurança, mas ultimamente, os salvadores [Firewall
>>> <sua marca preferida aqui>] passaram de solução a problema, com os inúmeros
>>> bugs sérios de segurança e backdoors builtin.
>>>
>>> Sds
>>>
>>> Alexandre Alencar
>>> Twitter @alexandreitpro
>>> http://blog.alexandrealencar.net/
>>> http://www.alexandrealencar.net/
>>> http://www.alexandrealencar.com
>>> http://www.servicosdeti.com.br/
>>> COBIT, ITIL, CSM, LPI, MCP-I
>>>
>>>
>>> 2016-02-27 16:32 GMT-03:00 Gerson Raymond <geraymond at gmail.com>:
>>>
>>> Pequena Sugestão:
>>>
>>> Vyatta
>>>
>>>
>>> https://community.brocade.com/dtscp75322/attachments/dtscp75322/SoftwareNetworking/14/1/Vyatta_Firewall_Best_Practices.pdf
>>>
>>>
>>> https://www.vivaolinux.com.br/artigo/Vyatta-o-concorrente-livre-dos-roteadores-Cisco?pagina=6
>>>
>>>
>>> http://pplware.sapo.pt/tutoriais/networking/vyatta-transforme-o-seu-pc-num-routerfirewall-parteii/
>>>
>>>
>>>
>>>
>>>
>>> Em 21 de fevereiro de 2016 19:17, Bruno Correia <
>>> brunogomescorreia at gmail.com> escreveu:
>>>
>>> Asterisk puro com freepbx por cima fica um pouco mais enxuto.
>>>
>>> Sobre a questão da VPN, que alguns colegas comentaram sobre custo e o
>>> usuário ter de conectar "na mão".
>>>
>>> O caso que utilizo aqui é com uma pequena RB750 com OpenWRT + OpenVPN,
>>> mando o roteador pré-configurado (conecta-se a VPN e recebe as rotas dos
>>> demais lugares via iBGP, uso o quagga neles) para a localidade que vai ser
>>> necessário o uso dos ramais. Só identifico a porta "WAN" e "LAN", então em
>>> qualquer situação que ele (um leigo faz a conexão no local) conecte um cabo
>>> na interface WAN e na rede tenho no mínimo o servidor DHCP que entregue as
>>> definições de rede e esta esteja com acesso a internet a RB750 subirá na
>>> VPN e o que estiver "atrás" dela conseguirá registrar os ramais através da
>>> mesma.
>>>
>>> Em 20-02-2016 10:49, Judson Júnior escreveu:
>>>
>>>
>>> Pode ser mesmo, Delphini. Acho que tens experiência o suficiente para
>>> colocar na balança os prós e os contras do Elastix, mesmo que no seu modo
>>> de ver só exista os contras rsrsrsrs.
>>>
>>> Mesmo assim fiquei curioso para saber como um Elastix poderia ser alvo
>>> de Phreaker por traz de um firewall barrando tudo. Não estou falando de
>>> fogo amigo, de dentro da rede, falo do cara de fora. Um cenário onde as
>>> chamadas são completadas apenas por E1 e conexões remotas cheguem apenas
>>> por VPN.
>>>
>>> Já usei Asterisk puro em um projeto pessoal. Fica mais leve, mais fácil
>>> de configurar. Usei num projeto chamado Joyphone, tem um vídeo no YouTube.
>>>
>>> Não é questão de ser "bom" o bastante para usar sem interface gráfica,
>>> nem de respeito próprio ou com o cliente. Se você me fornecer algo mais
>>> simples de administrar, onde eu consiga fazer um senhor de 60 anos
>>> adicionar e remover ramais, gerar relatórios das chamadas ou montar uma URA
>>> simples com meia dúzia de cliques ficarei eternamente grato. Falo sério.
>>>
>>> Onde eu trabalho várias pessoas precisam acessar o PABX para fazer
>>> pequenas intervenções. Não pode ser só o especialista. Tem que ser amigável
>>> mesmo, não tem outro jeito. O que você sugere no lugar do Elastix e por
>>> qual motivo?
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> Em 19 de fevereiro de 2016 14:59, Jefferson Alves Reis <
>>> jefferson at jpbx.com.br> escreveu:
>>>
>>> Calma professor rs.
>>> Deve ter pessoas q conseguem implementar elastix ou snep com um mínimo
>>> de segurança.
>>>
>>> Paz.
>>>
>>> Flws
>>> ------------------------------
>>> <http://www.jpbx.com.br>
>>> ------------------------------
>>> Em 19-02-2016 10:51, Angelo Delphini™ escreveu:
>>>
>>> Putz eu só entro em roubada aqui... Me desculpe mas você já está
>>> equivocado pois Elastix é sinônimo de "Venha PHERKERS (Craker de Telefonia)
>>> seja feita a sua vontade!".
>>>
>>> Pois bem, (Putz agora vão me matar!) na minha opinião quem usa Elastix
>>> não tem respeito PRÓPRIO  e nem com o CLIENTE!.
>>>
>>> Você é bom ? Então use uma solução em Asterisk boa!,
>>>
>>> Quer ser livre ? Use AstSBC da FAL... Uma solução desenvolvida por uma
>>> equipe de seguranças certificados em SIP Security da FAL Academy.
>>>
>>> Quer brincar de se MOLEQUE, use Elastix.
>>>
>>> Quer usar ambiente GRÁFICO por que tem medo de quebrar as UNHAS
>>> escrevendo código ?
>>>
>>> Então use SNEP!! 100% Nacional e com um dos maiores nomes em tecnologias
>>> associadas por traz, KHOMP!
>>>
>>>
>>> --
>>> Angelo de Barros Delphini - dCAA, dCAI, dCAI-TPT, dCSP-C, dCSE-C e dSSE.
>>> Linux User #472499 | Ubuntu User #22452
>>>
>>> [image: Perfil Angelo Delphini] <http://www.linkedin.com/in/delphini>
>>>    _
>>>   °v°         Asterisk Libre
>>>  /(_)\  <http://www.asterisklibre.org/>http://www.asterisklibre.org/
>>>   ^ ^
>>>  Seja livre, use Asterisk Puro!
>>>  --------------------------
>>>  Open Source \o/\o/ - Milhares de mentes abertas não podem estar
>>> enganadas!
>>>
>>>
>>>
>>>
>>> * Pense bem antes de imprimir Você esta preservando a natureza, as
>>> árvores agradecem! *
>>>
>>> Em 18 de fevereiro de 2016 16:42, Elieser Junior <zeljunior at gmail.com>
>>> escreveu:
>>>
>>> Manda seu contato pra lhe adicionar na comunidade da FAL. Precisa ter o
>>> telegram instalado no PC ou no celular
>>> Em 18 de fev de 2016 2:15 PM, "Judson Júnior" <judson.jcj at gmail.com>
>>> escreveu:
>>>
>>> Olá Elieser. AstSBC da FAL? Link please...
>>>
>>> Em 18 de fevereiro de 2016 09:47, Elieser Junior <zeljunior at gmail.com>
>>> escreveu:
>>>
>>> Utiliza Asterisk puro com o AstSBC da FAL, segurança total!
>>> Em 17 de fev de 2016 9:58 PM, "Judson Júnior" <judson.jcj at gmail.com>
>>> escreveu:
>>>
>>> Senhores,
>>>
>>> Gostaria de colocar um pouco (ou melhor, bastante) de segurança nas
>>> minhas instalações Asterisk. Escolhi usar o Elastix 2.5.0.
>>>
>>> Tendo isso em mente, penso no Fail2Ban + iptables como primeiro passo,
>>> mas não parar aí. Já li que a segurança dessa dupla sobre o Asterisk não é
>>> muito boa.
>>>
>>> Para onde deve mirar? Será o caso de Session Border Controller com
>>> OpenSIPs ou Blox?
>>>
>>> Para um Asterisk que vai ter um tronco SIP com alguma operadora com
>>> número remoto, remais instalados em Smartfones acessando meu Asterisk, o
>>> que vocês recomendam?
>>>
>>> Por enquanto não é o objetivo usar SRTP. Quero me limitar à evitar
>>> invasão do PABX e ligações não autorizadas.
>>>
>>> Obrigado.
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>> --
>>> <http://br.linkedin.com/in/brunocorr> * Bruno Correia*
>>> Network Analyst
>>> Information Security Specialist
>>> (83) 98812-2235
>>> (83) 99862-0224
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>>
>>>
>>> --
>>>    _
>>>   °v°   Gerson Raymond
>>>  /(S)\   Linux user: # 448673
>>>   ^ ^    Asterisk user. # 1113
>>>
>>> Especialista em Segurança em Tecnologia da Informação | Bacharel em
>>> Ciência da Computação | Técnico em Telecomunicações | Técnico em Eletrônica
>>>
>>> Livros Publicados:
>>>
>>> BackTrack Linux - Auditoria e Teste de Invasão em Redes de Computadores
>>>
>>> Kali Linux - Introdução ao Penetration Testing
>>>
>>> Cloud Computing - Data Center Virtualizado - Gerenciamento,
>>> Monitoramneto e Segurança
>>>
>>>
>>> Sites:* www.grsecurity.com.br <http://www.grsecurity.com.br>* |
>>> www.ethicalhacker.com.br
>>>
>>> E-mails: gerson at grsecurity.com.br | gerson at ethicalhacker.com.br
>>> <gerson at backtrackbrasil.com.br>
>>>
>>> Grsecurity - "Inovando com Segurança"
>>>
>>> "Porque melhor é a sabedoria do que os rubis; e tudo o que mais se
>>> deseja não se pode comparar com ela." - Provérbios 8:11
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________ KHOMP: completa linha de
>>> placas externas FXO, FXS, GSM e E1 Media Gateways de 1 a 64 E1s para SIP
>>> com R2, ISDN e SS7 Intercomunicador e acesso remoto via rede IP e telefones
>>> IP Conhe�a todo o portf�lio em www.Khomp.com
>>> _______________________________________________ Para remover seu email
>>> desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/f2c9c4e1/attachment-0002.html>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/f2c9c4e1/attachment-0003.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: ura1.PNG
Type: image/png
Size: 55166 bytes
Desc: not available
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/f2c9c4e1/attachment-0003.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: grafico1.PNG
Type: image/png
Size: 48313 bytes
Desc: not available
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/f2c9c4e1/attachment-0004.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: grafico2.PNG
Type: image/png
Size: 73839 bytes
Desc: not available
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/f2c9c4e1/attachment-0005.png>


Mais detalhes sobre a lista de discussão AsteriskBrasil