<div dir="ltr">Então depois de tudo isso minha visão sobre isso é, Bloquear todo a acesso de INPUT no asterisk, e liberar aspenas o aceso dos IPS das operadoras! Com isso creio que não terei problemas! E sempre ficar visualizando os Logs! <br>
<br>Irei fazer isso mesmo que nosso amigo nos disse! Irei criar um scipr para que seja feito um análise nos logs e enviado automaticamente por email, pois apenas FAIL2BAN e senhas milagrosas ja vi que não é 100% ajuda, mais ainda não é o suficiente!<div>
<br></div><div>Pessoal, acho que esse tópico é uma boa para discotir a questão de segurança e como implementar uma boa politica de segurança!</div><div><br></div><div>Obrigado!</div><div><br></div><div>Att</div><div>Luiz</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">Em 15 de julho de 2013 12:19, Patrick EL Youssef <span dir="ltr"><<a href="mailto:wushumasters@gmail.com" target="_blank">wushumasters@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000">
Eu fiz uns testes já com essa porem só pra carregar o firewall leva
um bom tempo<br>
<br>
Um colega ai da lista o SIlvio Garbes postou um firewall com uma
lista de ips do Brasil bem menor<br>
<br>
Estarei tentando ela para ver<br>
<br>
Obrigado Mike<br>
<div>Em 15-07-2013 12:01, Mike Tesliuk
escreveu:<br>
</div><div><div class="h5">
<blockquote type="cite">
<div><br>
Este script pega a lista e gera um arquivo (ou ruleset do
iptables) para você, ele baixa a lista da lacnic cada vez que
executa, entao se houver alguma modificação voce atualiza<br>
<br>
Ex de uso: sh nome_do_script BR<br>
<br>
Ele vai perguntar a area, voce responde america latina, e o tipo
que voce quer, se é a lista ou o ruleset<br>
<br>
, ele ta com um erro na expressao regular que ele nao ta
deixando apenas o bloco, mas ai voce limpa facil com sed ou cut,
se alguem quiser corrigir (nao to com tempo neste momento) manda
a correção pra lista.<br>
<br>
PS: não sei quem é o autor, peguei uma vez na internet isso ai<br>
<br>
#!/bin/bash<br>
<br>
REV="$Revision: 4 $"<br>
VERSION="0.1"<br>
RELEASE=`echo ${REV} | awk '{ print $2}'`<br>
<br>
# Arg. check<br>
if [ "${1}" = "" ]; then<br>
echo `basename ${0}`," v.${VERSION}.${RELEASE}"<br>
echo "Usage Error: missing arguments"<br>
echo ""<br>
echo " Usage: ${0} <country code>"<br>
echo " Country codes available at <a href="http://www.maxmind.com/app/iso3166" target="_blank">http://www.maxmind.com/app/iso3166</a>"<br>
echo ""<br>
exit<br>
else<br>
# too lazy to work on a script that will download from the right
server regarding what has been passed at the prompt :p<br>
# <a href="http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre" target="_blank">http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre</a><br>
echo "The country specified belongs to :"<br>
echo "1. Africa"<br>
echo "2. Asia/Pacific"<br>
echo "3. America"<br>
echo "4. Latin America/Caribbean"<br>
echo "5. Europe"<br>
echo ""<br>
echo -n "Your zone : "<br>
read ZONE<br>
<br>
echo ""<br>
echo "What kind of list do you want to generate ?"<br>
echo "1. A list of blocks : simple list, 1 block per line"<br>
echo "2. Iptables rulesets : you can set what comes before and
after the blocks"<br>
echo ""<br>
echo -n "Please make your choice [1/2] : "<br>
<br>
read LISTRULE<br>
<br>
if [ "${LISTRULE}" = "2" ]; then<br>
echo "Please specify the prefix rule (e.g. : iptables -A
INPUT -s)"<br>
read PRERULE<br>
echo "Specify the postfix rule (e.g. : -j DROP)"<br>
read POSTRULE<br>
fi<br>
<br>
# Afrinic (<a href="http://afrinic.net" target="_blank">afrinic.net</a>) : <a href="ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest" target="_blank">ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest</a><br>
# Apnic (<a href="http://apnic.net" target="_blank">apnic.net</a>) : <a href="ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest" target="_blank">ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest</a><br>
# Arin (<a href="http://arin.net" target="_blank">arin.net</a>) : <a href="ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest" target="_blank">ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest</a><br>
# Lacnic (<a href="http://lacnic.net" target="_blank">lacnic.net</a>) : <a href="ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest" target="_blank">ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest</a><br>
# Ripe (<a href="http://ripe.net" target="_blank">ripe.net</a>) : <a href="ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest" target="_blank">ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest</a><br>
<br>
LINK=<a href="ftp://ftp.apnic.net/public/stats/" target="_blank">"ftp://ftp.apnic.net/public/stats/"</a><br>
<br>
if [ "${ZONE}" = "1" ]; then <br>
FILE="afrinic/delegated-afrinic-latest"<br>
elif [ "${ZONE}" = "2" ]; then <br>
FILE="apnic/assigned-apnic-latest"<br>
elif [ "${ZONE}" = "3" ]; then <br>
FILE="arin/delegated-arin-latest"<br>
elif [ "${ZONE}" = "4" ]; then <br>
FILE="lacnic/delegated-lacnic-latest"<br>
elif [ "${ZONE}" = "5" ]; then <br>
FILE="ripe-ncc/delegated-ripencc-latest"<br>
fi<br>
<br>
TMP="/tmp"<br>
COUNTRY=${1}<br>
OUT="${TMP}/blocks-${COUNTRY}"<br>
<br>
cd ${TMP}<br>
echo ""<br>
echo "Download :"<br>
/usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O
${TMP}/db_${COUNTRY}<br>
echo ""<br>
rm -f ${OUT}<br>
<br>
for country in ${COUNTRY}<br>
do<br>
IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" |
egrep '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re
"s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"`
<br>
<br>
for ips in ${IPS}<br>
do<br>
if [ "${LISTRULE}" = "2" ]; then<br>
echo "${PRERULE} ${ips} ${POSTRULE}"
>> ${OUT}<br>
else<br>
echo "${ips}" >> ${OUT}<br>
fi<br>
done<br>
done <br>
<br>
echo "Block list saved as ${OUT}"<br>
echo ""<br>
<br>
rm -f ${FILE}<br>
<br>
fi<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
Em 15/07/13 10:55, Mike Tesliuk escreveu:<br>
</div>
<blockquote type="cite">
<div>Aqui tem um exemplo pra bloquear um
pais, é só inverter a logica e voce tem a liberação do pais e
bloqueio do resto<br>
<br>
<a href="http://www.cyberciti.biz/faq/block-entier-country-using-iptables/" target="_blank">http://www.cyberciti.biz/faq/block-entier-country-using-iptables/</a><br>
<br>
<br>
<br>
<br>
Em 15/07/13 10:20, Patrick EL Youssef escreveu:<br>
</div>
<blockquote type="cite">Caio
<br>
<br>
Pode postar a regra do firewall que usa pra bloquear esses
ips? <br>
<br>
Valeu <br>
<br>
Em 15-07-2013 11:01, Caio Pato escreveu: <br>
<blockquote type="cite">On Sun, Jul 14, 2013 at 10:47 PM,
asteriskdebian asterisk <br>
<a href="mailto:asteriskdebian2013@gmail.com" target="_blank"><asteriskdebian2013@gmail.com></a>
wrote: <br>
<blockquote type="cite">uso FAIL2BAN como firewall!! <br>
</blockquote>
fail2ban não está mais sendo "eficiente" porque esses pulhas
estão <br>
fazendo um "slow scan" (na realidade, "slow attempt") nas
redes,. <br>
Antigamente eles despejavam 120 chamadas por vez. Testavam
todos os <br>
códigos possíveis (0021, 0015, 0031, 00031, 90031,
900031...) de uma <br>
vez só. Agora, já mais "espertos", eles fazem apenas CINCO
tentativas <br>
por HORA, quando não fazem apenas quatro por hora, ao longo
das 24 <br>
horas do dia. Eles tem todo o tempo da vida, porque quando
conseguirem <br>
descobrir um buraco no seu dialplan, vão entupir de chamadas
para <br>
países árabes e da África. <br>
<br>
Assim, não dá mais para confiar APENAS no fail2ban - é um
método <br>
ultrapassado de proteção. <br>
<br>
Não sei qual é a sua utilização do servidor (provedor?
usuário? <br>
corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu
dialplan. <br>
<br>
A ligação teste é *SEMPRE* feita para alguns telefones: um
celular em <br>
Tel Aviv (Israel) ou um telefone virtual em Londres
(Inglaterra). <br>
<br>
NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a
cada dia - <br>
geralmente usando máquinas VPS, cujo IP não é dele MUITO
menos do <br>
servidor que efetivamente enviará as chamadas. Aqui (por ser
<br>
corporativo hospedado em datacenter) eu decidi bloquear
geralmente o <br>
/8 do IP de origem. Resolve, mas eles sempre acham algum
outro bloco <br>
livre. <br>
<br>
Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM
BURACOS no <br>
dialplan e... monitorar a rede. <br>
<br>
Procure uma mensagem aqui na lista com o mesmo problema há
alguns <br>
meses. Um colega da lista foi "invadido" por esses pulhas e
quem <br>
detectou foi a área de segurança da empresa de telefonia -
mas só no <br>
dia seguinte da invasão... Ai o estrago já era grande
demais. <br>
<br>
<br>
Conclusão: <br>
1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você
bloqueia <br>
logo o bloco (/16 ou /8) ou relaxa... <br>
2) Veja seu dialplan: não permita códigos mágicos, nem
cadeados a <br>
partir da rede externa; <br>
3) Olhe seu log com frequência - procure por chamadas para
um celular <br>
em Israel (9725) ou Palestina (970); <br>
4) Crie um script para enviar todas as madrugadas o logo de
todas as <br>
chamadas. Vai ajudar a achar eventuais tentativas de invasão
- mesmo <br>
que tardias, mas ajuda. <br>
_______________________________________________ <br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; <br>
Intercomunicadores para acesso remoto via rede IP. Conheça
em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>. <br>
_______________________________________________ <br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2,
ISDN e SS7. <br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. <br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>. <br>
_______________________________________________ <br>
Para remover seu email desta lista, basta enviar um email em
branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a>
<br>
</blockquote>
<br>
<br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
</blockquote>
<br>
<br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
</blockquote>
<br>
<br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
</blockquote>
<br>
</div></div></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>