Pelo que eu pude detectar, analisando algumas tentativas de invasões:<div> 1) Os ataques sempre partem de IPs de fora do país. Acredito que pelo custo e facilidade de se locar algo fora. Existem também o menor risco do responsável ser identificado e punido.</div>
<div> 2) Todas as tentativas de ataque se dão com ramais de logins numéricos. Eles começam testando 0000 e vão até 9999. Se você usar login de ramal alfanumérico, quebra as pernas deles.</div><div> 3) As combinações de senhas são ridiculamente fáceis. Se o ramal usar uma senha de 8 dígitos, alfanumérico, dificilmente será hackeado.</div>
<div> 4) Os ataques são feitos em 2 etapas: primeiro testa-se usuário e senha, sem mandar chamadas. Depois, de posse de usuário e senha válidos, manda-se a chamada. Assim, fica menos evidente as falhas no CDR.</div><div>
5) Quanto aos dispositivos, alguém sugeriu bloquear por inválidos. Porém, pelo menos aqui na minha análise, são a minoria. Boa parte deles vem identificado como softphone Eyebeam.</div><div> Como já foi amplamente discutido, o fail2ban é uma alternativa barata e viável. Meu receio é que, como ele analisa os logs do Asterisk, pode causar perda de performance pro servidor em questão.<br>
<br><div class="gmail_quote">2011/4/20 Jose Eduardo Constantino Mazolini <span dir="ltr"><<a href="mailto:jose.mazolini@fnis.com.br">jose.mazolini@fnis.com.br</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div lang="PT-BR" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Eu falei sobre isso com conexão TCP olhando syn.</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">E analisando string do pacote udp, mas estava usando mikrotik que adiciona o ip em uma tabela.</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Acho que o que a mikrotik faz o iptables faz, mas não sei exatamente como.</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Também modifiquei a resposta do asterisk para ser senha invalida para devices inexistentes.</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt">From:</span></b><span lang="EN-US" style="font-size:10.0pt"> <a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a> [mailto:<a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a>] <b>On Behalf Of </b>Thiago Bruni Tawil<br>
<b>Sent:</b> terça-feira, 19 de abril de 2011 18:51</span></p><div><div></div><div class="h5"><br><b>To:</b> <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>
<b>Subject:</b> Re: [AsteriskBrasil] Ajuda com brute force</div></div><p></p><div><div></div><div class="h5"><p class="MsoNormal"> </p><p>O fail2ban possuí esse recurso, mas ele não analisa pacotes e sim o arquivo de log do asterisk. Voce pode inclusive determinar quanto tempo vai durar o DROP...<br>
Abraços</p><div><p class="MsoNormal">No dia 19 de Abr de 2011 15:29, "Alexandre Ricardo Souza Silva" <<a href="mailto:alexandre@componentizar.com.br" target="_blank">alexandre@componentizar.com.br</a>> escreveu:<br>
> Thiago,<br>> <br>> tem uma outra maneira de fazer este bloqueo com Iptables e um analisador de pacotes, onde se vc tiver um x numero de tentativas em segundos vc bloqueia o Ip de origem, eu vi alguma coisa parecida aqui no forum, nao me lembro muito bem a ferramenta usada, se eu lembrar informo aqui a todos.<br>
> <br>> <br>> <br>> Abraço<br>> <br>> <br>> Alexandre<br>> ----- Original Message ----- <br>> From: Thiago Bruni Tawil <br>> To: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a> <br>
> Sent: Tuesday, April 19, 2011 7:59 AM<br>> Subject: Re: [AsteriskBrasil] Ajuda com brute force<br>> <br>> <br>> Cara, a melhor alternativa que eu encontrei ate hj é o fail2ban.... não eh tão complicado de entender e funciona muito bem... abraços...<br>
> <br>> Em 18/04/2011 19:34, "Renan Nóbrega" <<a href="mailto:renandesouz4@gmail.com" target="_blank">renandesouz4@gmail.com</a>> escreveu:<br>> > Creio que a essa altura do campeonato o problema tenha sido resolvido. Uma<br>
> > boa opção momentânea é bloquear o IP invasor no firewall via iptables. Taca<br>> > um DROP nele que para na hora.<br>> > <br>> > 2011/4/18 Wesley MAX WIFI TELECOM <<a href="mailto:xcyberlan@hotmail.com" target="_blank">xcyberlan@hotmail.com</a>><br>
> > <br>> >> não percebi que tinha feito isso tem com apagar da lista não<br>> >><br>> >> ------------------------------<br>> >> From: <a href="mailto:jmbq@bol.com.br" target="_blank">jmbq@bol.com.br</a><br>
> >> Date: Mon, 18 Apr 2011 08:49:33 -0300<br>> >><br>> >> To: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>> >> Subject: Re: [AsteriskBrasil] Ajuda com brute force<br>
> >><br>> >><br>> >> Como falado anteriormente, utilize o fail2ban.<br>> >> E mais uma dica, da próxima vez que postar o log não poste o IP do<br>> >> servidor.<br>> >><br>
> >> Boa sorte,<br>> >><br>> >> João Marcelo<br>> >><br>> >><br>> >> Em 17/04/2011, às 19:25, Wesley MAX WIFI TELECOM escreveu:<br>> >><br>> >> Ajuda com brute force estão tentando logar. em conta sip em meu servidor<br>
> >> ate agora ele não deram conta, pois sempre ativo host = meu ip fixo mais meu<br>> >> log já esta muito grande de tantas tentativas que eles estão fazendo e quero<br>> >> bloquear eles será que tem alguma ferramenta para que eu possa bloquear<br>
> >> essas tentativa e deixar meu asterisk mais seguro<br>> >><br>> >><br>> >><br>> >><br>> >> Tentativas no LOG<br>> >><br>> >><br>> >><br>
> >><br>> >> '"30" <<a href="mailto:sip%3A30@187.28.52.10" target="_blank">sip:30@187.28.52.10</a>>' failed for '112.107.3.152' - Peer is not<br>> >> supposed to register<br>
> >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to register,<br>> >> but not configured as host=dynamic<br>> >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <<br>
> >> <a href="mailto:sip%3A100@187.28.52.10" target="_blank">sip:100@187.28.52.10</a>>' failed for '65.111.166.219' - Peer is not supposed<br>> >> to register<br>> >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to register,<br>
> >> but not configured as host=dynamic<br>> >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <<br>> >> <a href="mailto:sip%3A100@187.28.52.10" target="_blank">sip:100@187.28.52.10</a>>' failed for '65.111.166.219' - Peer is not supposed<br>
> >> to register<br>> >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to register,<br>> >> but not configured as host=dynamic<br>> >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" <<br>
> >> <a href="mailto:sip%3A100@187.28.52.10" target="_blank">sip:100@187.28.52.10</a>>' failed for '65.111.166.219' - Peer is not supposed<br>> >> to register<br>> >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying to register,<br>
> >> but not configured as host=dynamic<br>> >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"30" <<br>> >> <a href="mailto:sip%3A30@187.28.52.10" target="_blank">sip:30@187.28.52.10</a>>' failed for '112.107.3.152' - Peer is not supposed to<br>
> >> register<br>> >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying<br>> >> _______________________________________________<br>> >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
> >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>> >> - Suporte técnico local qualificado e gratuito<br>> >> Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
> >> _______________________________________________<br>> >> DIGIVOICE: Lider no mercado de placas para Asterisk<br>> >> Único fabricante com Centro de Treinamento especializado.<br>> >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>
> >> <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>> >> ________<br>> >> Lista de discussões AsteriskBrasil.org<br>> >> <a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
> >> <a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>> >> ______________________________________________<br>
> >> Para remover seu email desta lista, basta enviar um email em branco para<br>> >> <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
> >><br>> >><br>> >><br>> >> _______________________________________________ KHOMP: qualidade em placas<br>> >> de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de<br>
> >> recursos e qualidade KHOMP - Suporte t<span>�</span>cnico local qualificado e gratuito<br>> >> Conhe<span>�</span>a a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br_______________________________________________" target="_blank">www.khomp.com.br_______________________________________________</a> DIGIVOICE: Lider no mercado<br>
> >> de placas para Asterisk <span>�</span>nico fabricante com Centro de Treinamento<br>> >> especializado. LAN<span>�</span>AMENTO: Channel Bank TDMoE, at<span>�</span> 64 canais FXS / FXO.<br>> >> <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200. ________ Lista de discuss<span>�</span>es<br>
> >> AsteriskBrasil.org <a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br>> >> <a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil______________________________________________" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil______________________________________________</a> Para remover seu email desta<br>
> >> lista, basta enviar um email em branco para<br>> >> <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
> >><br>> >> _______________________________________________<br>> >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>> >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
> >> - Suporte técnico local qualificado e gratuito<br>> >> Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>> >> _______________________________________________<br>
> >> DIGIVOICE: Lider no mercado de placas para Asterisk<br>> >> Único fabricante com Centro de Treinamento especializado.<br>> >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>> >> <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>
> >> ________<br>> >> Lista de discussões AsteriskBrasil.org<br>> >> <a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br>> >> <a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
> >> ______________________________________________<br>> >> Para remover seu email desta lista, basta enviar um email em branco para<br>> >> <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
> >><br>> > <br>> > <br>> > <br>> > -- <br>> > Renan Nóbrega<br>> > +55 83 88177548 , +55 83 81498995<br>> <br>> <br>> <br>> <br>> ------------------------------------------------------------------------------<br>
> <br>> <br>> _______________________________________________<br>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. <br>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
> - Suporte técnico local qualificado e gratuito <br>> Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>> _______________________________________________<br>
> DIGIVOICE: Lider no mercado de placas para Asterisk<br>> Único fabricante com Centro de Treinamento especializado.<br>> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. <br>> <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>
> ________<br>> Lista de discussões AsteriskBrasil.org<br>> <a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br>> <a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
> ______________________________________________<br>> Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></p>
</div><div><p class="MsoNormal"> </p></div></div></div></div><font style="font-size:7.0pt;font-family:Verdana">
                <br>A informação contida nesta mensagem é confidencial e de propriedade da Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por engano, por favor: (i) apague a mensagem e todas as suas cópias e anexos; (ii) não revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer maneira; e (iii) notifique o remetente imediatamente. Adicionalmente, por favor esteja informado de que qualquer mensagem endereçada ao domínio da Fidelity está sujeita ao arquivamento e leitura por outros membros da companhia, além do próprio destinatário da mensagem. A Fidelity agradece a sua colaboração.<br>
<br>The information contained in this message is proprietary and/or confidential. If you are not the intended recipient, please: (i) delete the message and all copies; (ii) do not disclose, distribute or use the message in any manner; and (iii) notify the sender immediately. In addition, please be aware that any message addressed to our domain is subject to archiving and review by persons other than the intended recipient. Thank you.<br>
</font></div>
<br>_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
DIGIVOICE: Lider no mercado de placas para Asterisk<br>
Único fabricante com Centro de Treinamento especializado.<br>
LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>
<a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>