<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
<title></title>
</head>
<body text="#000000" bgcolor="#ffffff">
Uma solução que achei, foi fechando um túnel VPN em todos os pontos
onde a chegada até o servidor Asterisk fosse via Internet. Sendo
assim, configuro nos gateways p/ se logarem por dentro desse tunel,
impossibilitando os ataques de brute force oriundo da internet.<br>
Abs..<br>
<br>
<blockquote
cite="mid:2814E3DFD38B0448B081F9DE156264300245546C@srvexcjv01.fnis-br.com"
type="cite">
<meta http-equiv="Content-Type" content="text/html;
charset=ISO-8859-1">
<meta name="Generator" content="Microsoft Word 14 (filtered
medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]-->
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);">Eu já tinha ouvido falar deste fato de hora
retornar inexistente hora invalido.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);">E por segurança a resposta sempre deveria ser
usuário OU senha inválido.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);">O que fiz por orientação da lista mesmo </span>alwaysauthreject=yes
<span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);">no sip.conf<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);">Ouvi falar do fail to ban mas não implantei.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);">A algum tempo implantei um firewall layer 7 em
uma RouterBoard se o cara receber um </span>SIP/2.0 403<span
style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);"> enviado por uma porta 5060 de alguém da
interface interna para qualquer porta saindo pela interface
de internet é banido por X horas.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);">Lembrando a RouterBoard usa iptables e o projeto
de firewall 7-layer.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);">Em um Linux tem que copiar o arquivo da pasta de
protocolos do 7-layer e editar ele para conter algo como
“sip\/[1-2]\.[0-9].403” não coloque o “^”pra indicar inicio
pois a primeira resposta não é 403, costuma ser 401 para
indicar que tem que usar senha e como é udp considera o
mesmo stream o que torna o segundo pacote uma continuação.
Alguém pode melhorar a string colocando um numero fixo de
caracteres que existe no primeiro pacote.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size: 11pt; font-family:
"Calibri","sans-serif"; color: rgb(31,
73, 125);"><o:p> </o:p></span></p>
<div>
<div style="border-right: medium none; border-width: 1pt
medium medium; border-style: solid none none; border-color:
rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color;
padding: 3pt 0cm 0cm;">
<p class="MsoNormal"><b><span style="font-size: 10pt;
font-family:
"Tahoma","sans-serif";"
lang="EN-US">From:</span></b><span style="font-size:
10pt; font-family:
"Tahoma","sans-serif";" lang="EN-US">
<a class="moz-txt-link-abbreviated" href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org">asteriskbrasil-bounces@listas.asteriskbrasil.org</a>
[<a class="moz-txt-link-freetext" href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org">mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org</a>]
<b>On Behalf Of </b>jose<br>
<b>Sent:</b> terça-feira, 15 de março de 2011 14:01<br>
<b>To:</b> <a class="moz-txt-link-abbreviated" href="mailto:asteriskbrasil@listas.asteriskbrasil.org">asteriskbrasil@listas.asteriskbrasil.org</a><br>
<b>Subject:</b> Re: [AsteriskBrasil] invasao<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size: 10pt;
font-family: "Arial","sans-serif";
color: black;">Eder</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size: 10pt;
font-family: "Arial","sans-serif";
color: black;">O pior de tudo é que nao tem tentativa de
acesso nos ramais como normalmente é feito, entrou pelo
contexto from-sip-external</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size: 10pt;
font-family: "Arial","sans-serif";
color: black;">Obrigado a todos pelas respostas </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size: 10pt;
font-family: "Arial","sans-serif";
color: black;">abçs</span><span style="font-size: 9pt;
font-family: "Verdana","sans-serif";
color: navy;"><o:p></o:p></span></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size: 10pt;
font-family: "Tahoma","sans-serif";"><o:p> </o:p></span></p>
</div>
<div>
<div>
<p class="MsoNormal" style="background: none repeat scroll
0% 0% whitesmoke;"><b><span style="font-size: 10pt;
font-family:
"Tahoma","sans-serif";">From:</span></b><span
style="font-size: 10pt; font-family:
"Tahoma","sans-serif";"> <a
moz-do-not-send="true"
href="mailto:eder.souza@bsd.com.br"
title="eder.souza@bsd.com.br">Eder Souza</a> <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background: none repeat scroll
0% 0% whitesmoke;"><b><span style="font-size: 10pt;
font-family:
"Tahoma","sans-serif";">Sent:</span></b><span
style="font-size: 10pt; font-family:
"Tahoma","sans-serif";"> Tuesday,
March 15, 2011 9:41 AM<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background: none repeat scroll
0% 0% whitesmoke;"><b><span style="font-size: 10pt;
font-family:
"Tahoma","sans-serif";">To:</span></b><span
style="font-size: 10pt; font-family:
"Tahoma","sans-serif";"> <a
moz-do-not-send="true"
href="mailto:asteriskbrasil@listas.asteriskbrasil.org"
title="mailto:asteriskbrasil@listas.asteriskbrasil.org
CTRL
+ Clique para seguir o link">asteriskbrasil@listas.asteriskbrasil.org</a>
<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="background: none repeat scroll
0% 0% whitesmoke;"><b><span style="font-size: 10pt;
font-family:
"Tahoma","sans-serif";">Subject:</span></b><span
style="font-size: 10pt; font-family:
"Tahoma","sans-serif";"> Re:
[AsteriskBrasil] invasao<o:p></o:p></span></p>
</div>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom: 12pt;">É bem provável
que que esta sofrendo ataque pela porta UDP 5060(SIP) com
envio de informçãoes forjadas para simular registro em seu
servidor Asterisk!<br>
<br>
Desta maneira o protocolo SIP sempre da uma resposta de
retorno e assim se consegue informação de ramais válidos dos
seu servidor o mesmo acontece para as suas senhas. tudo é
venviado um range entre 1 à 999 e todos os retornos sao
analisados então apartir dos retornos dos ramais válidos se
inicia um outro ataque por dicionarios a procura das senhas
fracas de cada ramal válido!<br>
<br>
Com o Ramal na mão e com a senha eles se conectam em seu
servidor e tentam iniciar ligações !<br>
<br>
Em meus testes contrui 1 script que faz algo parecido para
achar ramais válidos remotamente !<br>
<br>
<a moz-do-not-send="true"
href="http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/">http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/</a><br>
PS: modo primitivo que demonstra como é feito tudo ...<br>
<br>
Olhe com atenção em seus logs /var/log/asterisk/messages é bem
provável que vai encontrar varias tentativas de acesso a
ramais !<br>
<br>
Ainda existe a possibilidade de discar sem cair no seu
dialplan e burlar qualquer tipo de contexto :-(. Este método
ainda é totalmente desconhecido pelos atacantes para a nossa
sorte..<br>
<br>
<br>
Att,<br>
<br>
<br>
Eng Eder de Souza<br>
<br>
<o:p></o:p></p>
<div>
<p class="MsoNormal">Em 15 de março de 2011 09:22, jose <<a
moz-do-not-send="true"
href="mailto:jasanchez@terra.com.br">jasanchez@terra.com.br</a>>
escreveu:<o:p></o:p></p>
<div name="Compose message area">
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size: 10pt;
font-family:
"Arial","sans-serif";">Bom dia
Pessoal</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size: 10pt;
font-family:
"Arial","sans-serif";">Algum
especialista poderia me explicar como esta
acontecendo essa invasao abaixo: Obrigado</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">-- Executing
[00442070661000@from-sip-external:1]
NoOp("SIP/94.136.54.147-086b6658", "Received incoming
SIP connection from unknown peer to 00442070661000")
in new stack <o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Executing [00442070661000@from-sip-external:2]
Set("SIP/94.136.54.147-086b6658",
"DID=00442070661000") in new stack</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Executing [00442070661000@from-sip-external:3]
Goto("SIP/94.136.54.147-086b6658", "s|1") in new
stack</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Goto (from-sip-external,s,1)</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Executing [s@from-sip-external:1]
GotoIf("SIP/94.136.54.147-086b6658",
"0?from-trunk|00442070661000|1") in new stack</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Executing [s@from-sip-external:2]
Set("SIP/94.136.54.147-086b6658",
"TIMEOUT(absolute)=15") in new stack</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Channel will hangup at 2011-03-15 03:45:15 UTC.</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Executing [s@from-sip-external:3]
Answer("SIP/94.136.54.147-086b6658", "") in new
stack</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Executing [s@from-sip-external:4]
Wait("SIP/94.136.54.147-086b6658", "2") in new stack</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> ==
Spawn extension (from-sip-external, s, 4) exited
non-zero on 'SIP/94.136.54.147-086b6658'</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Executing [h@from-sip-external:1]
NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new
stack</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Executing [h@from-sip-external:2]
Set("SIP/94.136.54.147-086b6658", "DID=s") in new
stack</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Executing [h@from-sip-external:3]
Goto("SIP/94.136.54.147-086b6658", "s|1") in new
stack</span><o:p></o:p></p>
<p class="MsoNormal" style=""><span lang="EN-US"> --
Goto (from-sip-external,s,1)</span><o:p></o:p></p>
</div>
</div>
</div>
<p class="MsoNormal"><br>
_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para
Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade
KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a
moz-do-not-send="true" href="http://www.khomp.com.br"
target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a moz-do-not-send="true"
href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a moz-do-not-send="true"
href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a moz-do-not-send="true"
href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil"
target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em
branco para <a moz-do-not-send="true"
href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><o:p></o:p></p>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div class="MsoNormal" style="text-align: center;"
align="center">
<hr width="100%" align="center" size="2"></div>
<p class="MsoNormal">_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para
Asterisk. <br>
- Hardware com alta disponibilidade de recursos e qualidade
KHOMP<br>
- Suporte técnico local qualificado e gratuito <br>
Conheça a linha completa de produtos KHOMP em <a
moz-do-not-send="true" href="http://www.khomp.com.br">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a moz-do-not-send="true"
href="http://www.voipmania.com.br">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a moz-do-not-send="true"
href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a moz-do-not-send="true"
href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em
branco para <a moz-do-not-send="true"
href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><o:p></o:p></p>
</div>
<font style="font-size: 7pt; font-family: Verdana;"> <br>
A informação contida nesta mensagem é confidencial e de
propriedade da Fidelity Processadora e Serviços S/A. Se você
recebeu este e-mail por engano, por favor: (i) apague a mensagem
e todas as suas cópias e anexos; (ii) não revele, distribua ou
utilize a mensagem ou seu conteúdo de qualquer maneira; e (iii)
notifique o remetente imediatamente. Adicionalmente, por favor
esteja informado de que qualquer mensagem endereçada ao domínio
da Fidelity está sujeita ao arquivamento e leitura por outros
membros da companhia, além do próprio destinatário da mensagem.
A Fidelity agradece a sua colaboração.<br>
<br>
The information contained in this message is proprietary and/or
confidential. If you are not the intended recipient, please: (i)
delete the message and all copies; (ii) do not disclose,
distribute or use the message in any manner; and (iii) notify
the sender immediately. In addition, please be aware that any
message addressed to our domain is subject to archiving and
review by persons other than the intended recipient. Thank you.<br>
</font>
<pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em <a class="moz-txt-link-abbreviated" href="http://www.khomp.com.br">www.khomp.com.br</a>
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora <a class="moz-txt-link-abbreviated" href="http://www.voipmania.com.br">www.voipmania.com.br</a>
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
<a class="moz-txt-link-abbreviated" href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a>
<a class="moz-txt-link-freetext" href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a>
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a class="moz-txt-link-abbreviated" href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
</blockquote>
<br>
</body>
</html>