<div dir="ltr">Então depois de tudo isso minha visão sobre isso é, Bloquear todo a acesso de INPUT no asterisk, e liberar aspenas o aceso dos IPS das operadoras! Com isso creio que não terei problemas! E sempre ficar visualizando os Logs! <br>
<br>Irei fazer isso mesmo que nosso amigo nos disse! Irei criar um scipr para que seja feito um análise nos logs e enviado automaticamente por email, pois apenas FAIL2BAN e senhas milagrosas ja vi que não é 100% ajuda, mais ainda não é o suficiente!<div>
<br></div><div>Pessoal, acho que esse tópico é uma boa para discotir a questão de segurança e como implementar uma boa politica de segurança!</div><div><br></div><div>Obrigado!</div><div><br></div><div>Att</div><div>Luiz</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">Em 15 de julho de 2013 12:19, Patrick EL Youssef <span dir="ltr">&lt;<a href="mailto:wushumasters@gmail.com" target="_blank">wushumasters@gmail.com</a>&gt;</span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Eu fiz uns testes já com essa porem só pra carregar o firewall leva
    um bom tempo<br>
    <br>
    Um colega ai da lista o SIlvio Garbes postou um firewall com uma
    lista de ips do Brasil bem menor<br>
    <br>
    Estarei tentando ela para ver<br>
    <br>
    Obrigado Mike<br>
    <div>Em 15-07-2013 12:01, Mike Tesliuk
      escreveu:<br>
    </div><div><div class="h5">
    <blockquote type="cite">
      
      <div><br>
        Este script pega a lista e gera um arquivo (ou ruleset do
        iptables) para você, ele baixa a lista da lacnic cada vez que
        executa, entao se houver alguma modificação voce atualiza<br>
        <br>
        Ex de uso: sh nome_do_script BR<br>
        <br>
        Ele vai perguntar a area, voce responde america latina, e o tipo
        que voce quer, se é a lista ou o ruleset<br>
        <br>
        , ele ta com um erro na expressao regular que ele nao ta
        deixando apenas o bloco, mas ai voce limpa facil com sed ou cut,
        se alguem quiser corrigir (nao to com tempo neste momento) manda
        a correção pra lista.<br>
        <br>
        PS: não sei quem é o autor, peguei uma vez na internet isso ai<br>
        <br>
        #!/bin/bash<br>
        <br>
        REV=&quot;$Revision: 4 $&quot;<br>
        VERSION=&quot;0.1&quot;<br>
        RELEASE=`echo ${REV} | awk &#39;{ print $2}&#39;`<br>
        <br>
        # Arg. check<br>
        if [ &quot;${1}&quot; = &quot;&quot; ]; then<br>
          echo `basename ${0}`,&quot; v.${VERSION}.${RELEASE}&quot;<br>
          echo &quot;Usage Error: missing arguments&quot;<br>
          echo &quot;&quot;<br>
          echo &quot;   Usage: ${0} &lt;country code&gt;&quot;<br>
          echo &quot;   Country codes available at <a href="http://www.maxmind.com/app/iso3166" target="_blank">http://www.maxmind.com/app/iso3166</a>&quot;<br>
          echo &quot;&quot;<br>
          exit<br>
        else<br>
        # too lazy to work on a script that will download from the right
        server regarding what has been passed at the prompt :p<br>
        # <a href="http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre" target="_blank">http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre</a><br>
        echo &quot;The country specified belongs to :&quot;<br>
        echo &quot;1. Africa&quot;<br>
        echo &quot;2. Asia/Pacific&quot;<br>
        echo &quot;3. America&quot;<br>
        echo &quot;4. Latin America/Caribbean&quot;<br>
        echo &quot;5. Europe&quot;<br>
        echo &quot;&quot;<br>
        echo -n &quot;Your zone : &quot;<br>
        read ZONE<br>
        <br>
        echo &quot;&quot;<br>
        echo &quot;What kind of list do you want to generate ?&quot;<br>
        echo &quot;1. A list of blocks : simple list, 1 block per line&quot;<br>
        echo &quot;2. Iptables rulesets : you can set what comes before and
        after the blocks&quot;<br>
        echo &quot;&quot;<br>
        echo -n &quot;Please make your choice [1/2] : &quot;<br>
        <br>
        read LISTRULE<br>
        <br>
        if [ &quot;${LISTRULE}&quot; = &quot;2&quot; ]; then<br>
            echo &quot;Please specify the prefix rule (e.g. : iptables -A
        INPUT -s)&quot;<br>
            read PRERULE<br>
            echo &quot;Specify the postfix rule (e.g. : -j DROP)&quot;<br>
            read POSTRULE<br>
        fi<br>
        <br>
            # Afrinic (<a href="http://afrinic.net" target="_blank">afrinic.net</a>) : <a href="ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest" target="_blank">ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest</a><br>

            # Apnic   (<a href="http://apnic.net" target="_blank">apnic.net</a>)   : <a href="ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest" target="_blank">ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest</a><br>

            # Arin    (<a href="http://arin.net" target="_blank">arin.net</a>)    : <a href="ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest" target="_blank">ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest</a><br>

            # Lacnic  (<a href="http://lacnic.net" target="_blank">lacnic.net</a>)  : <a href="ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest" target="_blank">ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest</a><br>

            # Ripe       (<a href="http://ripe.net" target="_blank">ripe.net</a>)    : <a href="ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest" target="_blank">ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest</a><br>

        <br>
                LINK=<a href="ftp://ftp.apnic.net/public/stats/" target="_blank">&quot;ftp://ftp.apnic.net/public/stats/&quot;</a><br>
        <br>
            if [ &quot;${ZONE}&quot; = &quot;1&quot; ]; then <br>
                FILE=&quot;afrinic/delegated-afrinic-latest&quot;<br>
            elif [ &quot;${ZONE}&quot; = &quot;2&quot; ]; then <br>
                FILE=&quot;apnic/assigned-apnic-latest&quot;<br>
            elif [ &quot;${ZONE}&quot; = &quot;3&quot; ]; then <br>
                FILE=&quot;arin/delegated-arin-latest&quot;<br>
            elif [ &quot;${ZONE}&quot; = &quot;4&quot; ]; then <br>
                FILE=&quot;lacnic/delegated-lacnic-latest&quot;<br>
            elif [ &quot;${ZONE}&quot; = &quot;5&quot; ]; then <br>
            FILE=&quot;ripe-ncc/delegated-ripencc-latest&quot;<br>
            fi<br>
        <br>
            TMP=&quot;/tmp&quot;<br>
            COUNTRY=${1}<br>
            OUT=&quot;${TMP}/blocks-${COUNTRY}&quot;<br>
        <br>
            cd ${TMP}<br>
            echo &quot;&quot;<br>
            echo &quot;Download :&quot;<br>
            /usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O
        ${TMP}/db_${COUNTRY}<br>
            echo &quot;&quot;<br>
            rm -f ${OUT}<br>
        <br>
            for country in ${COUNTRY}<br>
            do<br>
                    IPS=`cat ${TMP}/db_${COUNTRY} | grep &quot;${country}&quot; |
        egrep &#39;[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}&#39; | sed -re
        &quot;s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/&quot;`      

        <br>
         <br>
                    for ips in ${IPS}<br>
                    do<br>
                    if [ &quot;${LISTRULE}&quot; = &quot;2&quot; ]; then<br>
                            echo &quot;${PRERULE} ${ips} ${POSTRULE}&quot;
        &gt;&gt; ${OUT}<br>
                    else<br>
                    echo &quot;${ips}&quot; &gt;&gt; ${OUT}<br>
                    fi<br>
                    done<br>
            done <br>
        <br>
            echo &quot;Block list saved as ${OUT}&quot;<br>
            echo &quot;&quot;<br>
        <br>
            rm -f ${FILE}<br>
        <br>
        fi<br>
        <br>
        <br>
        <br>
        <br>
        <br>
        <br>
        <br>
        <br>
        Em 15/07/13 10:55, Mike Tesliuk escreveu:<br>
      </div>
      <blockquote type="cite">
        
        <div>Aqui tem um exemplo pra bloquear um
          pais, é só inverter a logica e voce tem a liberação do pais e
          bloqueio do resto<br>
          <br>
          <a href="http://www.cyberciti.biz/faq/block-entier-country-using-iptables/" target="_blank">http://www.cyberciti.biz/faq/block-entier-country-using-iptables/</a><br>
          <br>
          <br>
          <br>
          <br>
          Em 15/07/13 10:20, Patrick EL Youssef escreveu:<br>
        </div>
        <blockquote type="cite">Caio

          <br>
          <br>
          Pode postar a regra do firewall que usa pra bloquear esses
          ips? <br>
          <br>
          Valeu <br>
          <br>
          Em 15-07-2013 11:01, Caio Pato escreveu: <br>
          <blockquote type="cite">On Sun, Jul 14, 2013 at 10:47 PM,
            asteriskdebian asterisk <br>
            <a href="mailto:asteriskdebian2013@gmail.com" target="_blank">&lt;asteriskdebian2013@gmail.com&gt;</a>
            wrote: <br>
            <blockquote type="cite">uso FAIL2BAN como firewall!! <br>
            </blockquote>
            fail2ban não está mais sendo &quot;eficiente&quot; porque esses pulhas
            estão <br>
            fazendo um &quot;slow scan&quot; (na realidade, &quot;slow attempt&quot;) nas
            redes,. <br>
            Antigamente eles despejavam 120 chamadas por vez. Testavam
            todos os <br>
            códigos possíveis (0021, 0015, 0031, 00031, 90031,
            900031...) de uma <br>
            vez só. Agora, já mais &quot;espertos&quot;, eles fazem apenas CINCO
            tentativas <br>
            por HORA, quando não fazem apenas quatro por hora, ao longo
            das 24 <br>
            horas do dia. Eles tem todo o tempo da vida, porque quando
            conseguirem <br>
            descobrir um buraco no seu dialplan, vão entupir de chamadas
            para <br>
            países árabes e da África. <br>
            <br>
            Assim, não dá mais para confiar APENAS no fail2ban - é um
            método <br>
            ultrapassado de proteção. <br>
            <br>
            Não sei qual é a sua utilização do servidor (provedor?
            usuário? <br>
            corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu
            dialplan. <br>
            <br>
            A ligação teste é *SEMPRE* feita para alguns telefones: um
            celular em <br>
            Tel Aviv (Israel) ou um telefone virtual em Londres
            (Inglaterra). <br>
            <br>
            NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a
            cada dia - <br>
            geralmente usando máquinas VPS, cujo IP não é dele MUITO
            menos do <br>
            servidor que efetivamente enviará as chamadas. Aqui (por ser
            <br>
            corporativo hospedado em datacenter) eu decidi bloquear
            geralmente o <br>
            /8 do IP de origem. Resolve, mas eles sempre acham algum
            outro bloco <br>
            livre. <br>
            <br>
            Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM
            BURACOS no <br>
            dialplan e... monitorar a rede. <br>
            <br>
            Procure uma mensagem aqui na lista com o mesmo problema há
            alguns <br>
            meses. Um colega da lista foi &quot;invadido&quot; por esses pulhas e
            quem <br>
            detectou foi a área de segurança da empresa de telefonia -
            mas só no <br>
            dia seguinte da invasão... Ai o estrago já era grande
            demais. <br>
            <br>
            <br>
            Conclusão: <br>
            1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você
            bloqueia <br>
            logo o bloco (/16 ou /8) ou relaxa... <br>
            2) Veja seu dialplan: não permita códigos mágicos, nem
            cadeados a <br>
            partir da rede externa; <br>
            3) Olhe seu log com frequência - procure por chamadas para
            um celular <br>
            em Israel (9725) ou Palestina (970); <br>
            4) Crie um script para enviar todas as madrugadas o logo de
            todas as <br>
            chamadas. Vai ajudar a achar eventuais tentativas de invasão
            - mesmo <br>
            que tardias, mas ajuda. <br>
            _______________________________________________ <br>
            KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
            <br>
            Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; <br>
            Intercomunicadores para acesso remoto via rede IP. Conheça
            em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>. <br>
            _______________________________________________ <br>
            ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2,
            ISDN e SS7. <br>
            Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. <br>
            Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>. <br>
            _______________________________________________ <br>
            Para remover seu email desta lista, basta enviar um email em
            branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a>
            <br>
          </blockquote>
          <br>
          <br>
          <fieldset></fieldset>
          <br>
          <pre>_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>

        </blockquote>
        <br>
        <br>
        <fieldset></fieldset>
        <br>
        <pre>_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>

      </blockquote>
      <br>
      <br>
      <fieldset></fieldset>
      <br>
      <pre>_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>

    </blockquote>
    <br>
  </div></div></div>

<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>