<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.apple-style-span
{mso-style-name:apple-style-span;}
span.h4
{mso-style-name:h4;}
span.EstiloDeEmail19
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
.MsoChpDefault
{mso-style-type:export-only;}
@page Section1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.Section1
{page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang=PT-BR link=blue vlink=purple>
<div class=Section1>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Já tinha visto esse artigo no blog do <a
href="http://wnunes.com/category/seguranca/">http://wnunes.com/category/seguranca/</a><o:p></o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Recomendo a todos a leitura, fiz alguns testes e vi que
realmente esta com esta falha.<o:p></o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Não vou entrar muito em detalhes pois o blog do wnunes da uma visão
bacana das possibilidades.<o:p></o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>
<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>
<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>De:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>
asteriskbrasil-bounces@listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org] <b>Em nome de </b>leandro
alves<br>
<b>Enviada em:</b> terça-feira, 3 de agosto de 2010 23:49<br>
<b>Para:</b> asteriskbrasil@listas.asteriskbrasil.org<br>
<b>Assunto:</b> [AsteriskBrasil] Segurança em servidores Asterisk<o:p></o:p></span></p>
</div>
<p class=MsoNormal><o:p> </o:p></p>
<div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New";
color:#500050'>Galera,</span><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p></o:p></span></p>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p> </o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New";
color:#500050'>Houveram relatos de vários ataques phreak em diversos servidores
com plantaforma Asterisk, como também em Atas, utilizados em operadoras Voip
pelo mundo todo. Mas notei que há muitos ataques concentrados no Brasil.</span><span
style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#500050'><o:p></o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p> </o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New";
color:#500050'>Portanto, segue um complemento, de tudo que já existe postado em
outros lugares(mas pouco se utiliza), como também parâmetros que
"deveriam" ser utilizados por operadoras Voip, onde nos testes de
meus clientes, descobri que a maioria delas são inseguras, disponibilizam seus
clientes às várias ferramentas de ataques na rede. Seguem indicações para
melhorar a segurança de nossas redes, ou pelo menos "tentar":</span><span
style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#500050'><o:p></o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p> </o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p> </o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-family:"Courier New";color:#500050'>Baseado
nos recentes ataques sofridos na ultima semana, seria interessante atentarmos
não só à segurança da rede dos nossos clientes, mas também no asterisk, que
"nós" compilamos, segue abaixo algumas coisas que acho que deveríamos
conhecer:</span><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p></o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p> </o:p></span></p>
</div>
<div>
<p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Courier New";
color:#500050'>Ferramenta de ataque(toda e qualquer informação disponibilizada,
é somente para consulta e proteção de servidores voip, não deverá ser utilizado
para ataques):<br>
<br>
Sipvicious(provavelmente o que foi utilizado no ataque à um dos clientes):<br>
<br>
São 3 scripts em python, scanners em plantaformas voip, baseados em sip:<br>
<br>
svmap.py – Sip scanner, que lista dispositivos sip(Asterisk, ou
switch's(hardware) voip) de um endereço ou range de ips.<br>
<br>
svwar.py – Lista ramais/usuários de contas sip(com ou sem segurança) em
uma plataforma voip(ex.: servidor Asterisk).<br>
<br>
svcrack.py – Utilizado para quebrar senhas de ramais sip(quando não há
senha, também exibe status do ramal).</span><span style='font-size:10.0pt;
font-family:"Arial","sans-serif";color:#500050'><o:p></o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p> </o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-family:"Courier New";color:#500050'>Erros
mais frequentes de segurança:<br>
<br>
* Ramais onde a senha é o numero do ramal.</span><span style='font-size:10.0pt;
font-family:"Arial","sans-serif";color:#500050'><o:p></o:p></span></p>
</div>
<div>
<p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Courier New";
color:#500050'>* Ramais com senhas fracas, que podem ser facilmente encontradas
em wordlists.<br>
* Ramais sem senha(qualquer um pode utilizar, colocando qualquer senha ou nem
colocando uma).<br>
* Firewall(parado ou sem regras seguras).<br>
* Sem regras de permit/deny no sip.conf(quando não há necessidade de se
utilizar com ip's dinamicos).<br>
* Ramais tem permissão para ligarem para qualquer lugar(DDI, quase nunca
necessário).<br>
<br>
</span><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p></o:p></span></p>
</div>
<div>
<p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Courier New";
color:#500050'>Rastreamento para encontrar plataformas SIP em uma rede(você
estabelece um range de rede com o script feito em pyton), algumas operadoras
Voip, que neste artigo não citarei o nome, são totalmente escancaradas, e
listam seus clientes:<br>
<br>
./svmap.py IPDOSERVIDORVOIP</span><span style='font-size:10.0pt;font-family:
"Arial","sans-serif";color:#500050'><o:p></o:p></span></p>
<div>
<p class=MsoNormal><span style='font-family:"Courier New";color:#500050'>| SIP
Device | User Agent | Fingerprint |</span><span
style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#500050'><o:p></o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-family:"Courier New";color:#500050'>--------------------------------------------------</span><span
style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#500050'><o:p></o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-family:"Courier New";color:#500050'>|
187.xxx.xxx.xxx:5060 | Asterisk PBX | disabled |</span><span
style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#500050'><o:p></o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p> </o:p></span></p>
</div>
<div>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:#500050'><o:p> </o:p></span></p>
</div>
<p class=MsoNormal><span style='font-family:"Courier New";color:#500050'><br>
* Ok, o IP: 187.xxx.xxx.xxx é um alvo(IPBX Asterisk).<br>
<br>
* Agora, roda-se o outro script para verificar quais ramais disponíveis neste
servidor Asterisk:<br>
<br>
./svwar.py 187.xxx.xxx.xxx </span><span style='font-size:10.0pt;
font-family:"Arial","sans-serif";color:#500050'><o:p></o:p></span></p>
</div>
</div>
</div>
<div>
<div>
<div>
<p class=MsoNormal><span class=h4><span style='font-size:7.0pt;font-family:
"Arial","sans-serif";color:#500050'>- Mostrar texto das mensagens anteriores -</span></span><span
style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p></o:p></span></p>
</div>
</div>
<div>
<div>
<p class=MsoNormal><span class=h4><span style='font-size:7.0pt;font-family:
"Courier New";color:#500050'>- Mostrar texto das mensagens anteriores -</span></span><span
style='font-family:"Courier New"'><o:p></o:p></span></p>
</div>
</div>
<p class=MsoNormal><span style='font-family:"Courier New"'>
sendmail-whois[name=ASTERISK, <span style='color:darkblue'>dest=seuemail@seudomino</span>,<span
style='color:darkblue'>sender=asterisk@dominio</span>]<o:p></o:p></span></p>
<div>
<p class=MsoNormal><span style='font-family:"Courier New";color:#500050'><br>
<br>
logpath = /var/log/asterisk/full<br>
<br>
maxretry = 3<br>
bantime = 259200<br>
<br>
###Finalizado a configuração do arquivo.<br>
<br>
- Maxretry determina a quantidade de erros que o fail2ban vai aceitar de um
determinado host antes de bloqueá-lo.<br>
<br>
- "bantime", em segundos, portanto neste caso qualquer tentativa de
ataque ao asterisk será banida por 72 horas.<br>
<br>
<br>
* Editar o /etc/asterisk/logger.conf e definir o "dateformat"(por
padrão no nosso asterisk esta comentado) da seguinte forma.<br>
<br>
[general]<br>
dateformat=%F %T<br>
<br>
- Em [logfiles], insira a linha:<br>
<br>
syslog.local0 => notice<br>
<br>
* Reload no "logger" do asterisk<br>
<br>
<br>
Estas soluções, não garantem total segurança para nossos clientes, pois isto é
impossível<o:p></o:p></span></p>
</div>
</div>
<p class=MsoNormal><br>
-- <br>
Leandro,<o:p></o:p></p>
</div>
</body>
</html>