<span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; border-collapse: collapse; "><div><div class="im" style="color: rgb(80, 0, 80); "><font face="'courier new', monospace">Galera,</font><div>
<font face="'courier new', monospace"><br></font></div><div><font face="'courier new', monospace">Houveram relatos de vários ataques phreak em diversos servidores com plantaforma Asterisk, como também em Atas, utilizados em operadoras Voip pelo mundo todo. Mas notei que há muitos ataques concentrados no Brasil.</font></div>
<div><font face="'courier new', monospace"><br></font></div><div><font face="'courier new', monospace">Portanto, segue um complemento, de tudo que já existe postado em outros lugares(mas pouco se utiliza), como também parâmetros que "deveriam" ser utilizados por operadoras Voip, onde nos testes de meus clientes, descobri que a maioria delas são inseguras, disponibilizam seus clientes às várias ferramentas de ataques na rede. Seguem indicações para melhorar a segurança de nossas redes, ou pelo menos "tentar":</font></div>
<div><font face="'courier new', monospace"><br></font></div><div><font face="'courier new', monospace"><br></font></div><div><font face="'courier new', monospace"><span style="font-size: small; ">Baseado nos recentes ataques sofridos na ultima semana, seria interessante atentarmos não só à segurança da rede dos nossos clientes, mas também no asterisk, que "nós" compilamos, segue abaixo algumas coisas que acho que deveríamos conhecer:</span></font></div>
<div><font face="'courier new', monospace"><span style="font-size: small; "><br></span></font></div><div><font face="'courier new', monospace"><span style="font-size: small; ">Ferramenta de ataque(toda e qualquer informação disponibilizada, é somente para consulta e proteção de servidores voip, não deverá ser utilizado para ataques):<br>
<br>Sipvicious(provavelmente o que foi utilizado no ataque à um dos clientes):<br><br>São 3 scripts em python, scanners em plantaformas voip, baseados em sip:<br><br>svmap.py – Sip scanner, que lista dispositivos sip(Asterisk, ou switch's(hardware) voip) de um endereço ou range de ips.<br>
<br>svwar.py – Lista ramais/usuários de contas sip(com ou sem segurança) em uma plataforma voip(ex.: servidor Asterisk).<br><br>svcrack.py – Utilizado para quebrar senhas de ramais sip(quando não há senha, também exibe status do ramal).<br>
<br></span></font></div><div><font face="'courier new', monospace"><span style="font-size: small; "><br></span></font></div><div><font face="'courier new', monospace"><span style="font-size: small; ">Erros mais frequentes de segurança:<br>
<br>* Ramais onde a senha é o numero do ramal.</span></font></div><div><font face="'courier new', monospace"><span style="font-size: small; ">* Ramais com senhas fracas, que podem ser facilmente encontradas em wordlists.<br>
* Ramais sem senha(qualquer um pode utilizar, colocando qualquer senha ou nem colocando uma).<br>* Firewall(parado ou sem regras seguras).<br>* Sem regras de permit/deny no sip.conf(quando não há necessidade de se utilizar com ip's dinamicos).<br>
* Ramais tem permissão para ligarem para qualquer lugar(DDI, quase nunca necessário).<br><br><br></span></font></div><div><font face="'courier new', monospace"><span style="font-size: small; ">Rastreamento para encontrar plataformas SIP em uma rede(você estabelece um range de rede com o script feito em pyton), algumas operadoras Voip, que neste artigo não citarei o nome, são totalmente escancaradas, e listam seus clientes:<br>
<br>./svmap.py IPDOSERVIDORVOIP<br><br></span></font><div><font face="'courier new', monospace"><span style="font-size: small; ">| SIP Device | User Agent | Fingerprint |</span></font></div><div><font face="'courier new', monospace"><span style="font-size: small; ">--------------------------------------------------</span></font></div>
<div><font face="'courier new', monospace"><span style="font-size: small; ">| 187.xxx.xxx.xxx:5060 | Asterisk PBX | disabled |</span></font></div><div><font face="'courier new', monospace"><span style="font-size: small; "><br>
</span></font></div><div><font face="'courier new', monospace"><span style="font-size: small; "><br></span></font></div><font face="'courier new', monospace"><span style="font-size: small; "><br>* Ok, o IP: 187.xxx.xxx.xxx é um alvo(IPBX Asterisk).<br>
<br>* Agora, roda-se o outro script para verificar quais ramais disponíveis neste servidor Asterisk:<br><br> ./svwar.py </span></font><font face="'courier new', monospace"><span style="font-size: small; ">187.xxx.xxx.xxx</span></font><font face="'courier new', monospace"><span style="font-size: small; "> </span></font></div>
</div></div><div><div><div><span id="q_12a3b0890020134a_3" class="h4" style="cursor: pointer; color: rgb(80, 0, 80); font-size: 9px; ">- Mostrar texto das mensagens anteriores -</span></div></div><font face="'courier new', monospace"><span style="font-size: small; "><div>
<div><span id="q_12a3b0890020134a_5" class="h4" style="cursor: pointer; color: rgb(80, 0, 80); font-size: 9px; ">- Mostrar texto das mensagens anteriores -</span></div></div> sendmail-whois[name=ASTERISK, </span></font><span style="color: rgb(0, 0, 139); text-decoration: none; "><span style="color: rgb(0, 0, 139); text-decoration: none; "><font face="'courier new', monospace"><span style="font-size: small; ">dest=seuemail@seudomino</span></font></span></span><font face="'courier new', monospace"><span style="font-size: small; ">,</span></font><span style="color: rgb(0, 0, 139); text-decoration: none; "><span style="color: rgb(0, 0, 139); text-decoration: none; "><font face="'courier new', monospace"><span style="font-size: small; ">sender=asterisk@dominio</span></font></span></span><font face="'courier new', monospace"><span style="font-size: small; ">]<div class="im" style="color: rgb(80, 0, 80); ">
<br><br>logpath = /var/log/asterisk/full<br><br>maxretry = 3<br>bantime = 259200<br><br>###Finalizado a configuração do arquivo.<br><br>- Maxretry determina a quantidade de erros que o fail2ban vai aceitar de um determinado host antes de bloqueá-lo.<br>
<br>- "bantime", em segundos, portanto neste caso qualquer tentativa de ataque ao asterisk será banida por 72 horas.<br><br><br>* Editar o /etc/asterisk/logger.conf e definir o "dateformat"(por padrão no nosso asterisk esta comentado) da seguinte forma.<br>
<br> [general]<br>dateformat=%F %T<br><br>- Em [logfiles], insira a linha:<br><br>syslog.local0 => notice<br><br>* Reload no "logger" do asterisk<br><br><br>Estas soluções, não garantem total segurança para nossos clientes, pois isto é impossível</div>
</span></font></div></span><br>-- <br>Leandro,<br>