
Agregando ao que os colegas já falaram, se você utiliza interface Web para configuração e deixou aberta com senha fraca ou padrão, <br>o individuo pode entrar tranquilamente e ver/alterar senha e usar ramais sem acessar seu linux. <br>

No Elastix, por exemplo, tinham vulnerabilidades até a versão 1.6. <br>O ideal é fechar as portas web, 80 e 443 defaults e utilizar senhas fortes. <br><br>Se for o caso, de uma olhada nos logs do apache em &quot;/var/log/httpd/&quot;.<br>

<br>Abraço.<br><br><div class="gmail_quote">Em 9 de janeiro de 2013 13:19, Caio Pato <span dir="ltr">&lt;<a href="mailto:caiopato@gmail.com" target="_blank">caiopato@gmail.com</a>&gt;</span> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">2013/1/9 Airton Antunes - Brasil Sul Informática &lt;<a href="mailto:airton@brasilsulinfo.com.br">airton@brasilsulinfo.com.br</a>&gt;:<br>

</div><div class="im">&gt; Temos um E1 da GVT conectado a central Asterisk. O serviço de proteção e<br>

&gt; segurança da GVT entrou em contato com a empresa informando de várias<br>

&gt; ligações internacionais realizadas nesta madrugada.<br>

<br>

</div>Ferrou... :-(<br>

Se vocês não fazem ligações internacionais, não há a possibilidade de<br>

pedir o bloqueio na GVT?<br>

<div class="im"><br>

&gt; Verifiquei os LOG e arquivos de Gravações e realmente aconteceram ligações<br>

&gt; internacionais.<br>

<br>

</div>Você pode passar os telefones chamados? Quais países? Aqui sou sempre<br>

vítima de chamadas para a faixa de Gaza, Sudão e Inglaterra.<br>

<div class="im"><br>

&gt; Minha pergunta, é possível invadirem o Asterisk sem acessar o Linux?<br>

<br>

</div>Das duas uma:<br>

1) Senha fraca em algum ramal;<br>

2) Algum contexto vazando autorização.<br>

<br>

Há um GRANDE fluxo de chamadas com origem e destino internacional. Na<br>

última reunião do GTS (Grupo de Trabalho em Segurança de Redes, do<br>

CGI.Br), a equipe do CERT.br apresentou o trabalho &quot;Anatomia de<br>

ataques a servidores SIP&quot;. Um trabalho muito bem feito pelo Klaus<br>

Steding-Jessen e Joao Ceron. Demonstrou com dados verdadeiros o modus<br>

operandi das quadrilhas internacionais que sequestram servidores SIP<br>

para trafegar ilegalmente as chamadas.<br>

<br>

Meu último ataque identificado foi de um IP no Sudão (41.95.107.83 -<br>

ZAIN-SD INTERNET POOL), com chamada-teste para um celular também no<br>

Sudão (00-249-126170176). Nem perdi meu tempo reclamando...<br>

<br>

Minha observação mostra que as chamadas são feitas com ip spoofing<br>

para um número de teste, quando o ladrão confirmará que o seu servidor<br>

é &quot;abertão&quot;. O motivo do spoof é evitar que você descubra (facilmente)<br>

a origem da chamada..<br>

<br>

Recomendações:<br>

1) SENHAS FORTES ou usar um username diferente do ramal (username<br>

hexadecimal, por exemplo);<br>

2) Criar um contexto &quot;pega trouxa&quot;. Não sei qual a versão do seu<br>

asterisk, mas existe a possibilidade de criar um contexto &quot;default&quot;<br>

para qualquer usuário não autenticado fazer as chamadas. Só que...<br>

todas as chamadas são rejeitadas. Você deixa a chamada ser feita mas<br>

não roteada (um ring falso, um wait... enrola, loga e derruba);<br>

3) Se possível, bloquear todo e qualquer IP não reconhecido - eu estou<br>

bloqueando toda a África (exceto África do Sul), todo o oriente médio<br>

e oeste da Ásia. Sem contar que bloqueio também provedores de VPS.<br>

Depois de sofrer centenas de ataques por dia, hoje eu estou<br>

tranquilo... :D<br>

<br>

Existe um serviço COMERCIAL (e pago) que oferece regras dinâmicas para<br>

seu roteador/firewall/IPS/IDS (Cisco, Juniper, Netscreen, CheckPoint,<br>

Vyatta). Hoje a lista específica para VoIP conta com 887 IPs únicos<br>

bloqueados. É pouco... mas é um começo.<br>

<br>

Não sei o tamanho da sua estrutura mas é coisa para se pensar. E, SE<br>

NÃO TIVER CLIENTES NO EXTERIOR, bloqueio de IPs de blocos fora do<br>

Brasil resolve 99% do seu problema de tráfego indevido.<br>

<span class="HOEnZb"><font color="#888888"><br>

Caio<br>

</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>

EBS MODULAR: 3 slots para combinação entre E1, GSM, FXS ou FXO;<br>

Linha de PORTEIROS IP, abrem até 2 dispositivos com acesso IP remoto;<br>

Conheça esses e outros LANÇAMENTOS KHOMP em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a> <br>

_______________________________________________<br>

DIGIVOICE  Fabricante de Placas de Voz e Channel Bank<br>

20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>

Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>

_______________________________________________<br>

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>

Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>

_______________________________________________<br>

Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>

</div></div></blockquote></div><br><br clear="all"><br>-- <br>--<br>Roger Pitigliani<br>

<a href="mailto:rogerwinter@gmail.com" target="_blank">rogerwinter@gmail.com</a><br>

Skype: roger.pitigliani<br>