<html>

<head>

<style><!--

.hmmessage P

{

margin:0px;

padding:0px

}

body.hmmessage

{

font-size: 12pt;

font-family:Calibri

}

--></style></head>

<body class='hmmessage'><div dir='ltr'><font face="Arial" size="3" style="font-size:12pt;">IDEM ...<br id="FontBreak"></font><br><br><pre style="line-height:17px;white-space:normal;color:rgb(42, 42, 42);background-color:rgb(255, 255, 255)">Hudson&nbsp;<br>(048) 8413-7000<br>Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.&nbsp;</pre><br><br><div><hr id="stopSpelling">Date: Tue, 24 Sep 2013 13:44:18 -0300<br>From: zeljunior@gmail.com<br>To: asteriskbrasil@listas.asteriskbrasil.org<br>Subject: Re: [AsteriskBrasil] Tentativa de invasao<br><br><p dir="ltr">Asterisk 1.8 na nuvem, máquina com IP público 201.X.X.X. utilizo Debian Wheezy. </p>

<div class="ecxgmail_quote">Em 24/09/2013 12:19, "Thiago Anselmo" &lt;<a href="mailto:thiagoo.anselmoo@gmail.com">thiagoo.anselmoo@gmail.com</a>&gt; escreveu:<br><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;">

<div dir="ltr">me digam qual seus cenários.</div><div class="ecxgmail_extra"><br><br><div class="ecxgmail_quote">Em 24 de setembro de 2013 12:13, Elieser Junior <span dir="ltr">&lt;<a href="mailto:zeljunior@gmail.com" target="_blank">zeljunior@gmail.com</a>&gt;</span> escreveu:<br>

<blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;"><div dir="ltr"><div>Thiago, seria interessante.<br><br></div>Se puder contribuir mais, agradecemos.<br><br></div><div class="ecxgmail_extra">

<br><br><div class="ecxgmail_quote"><div>Em 24 de setembro de 2013 12:05, Thiago Anselmo <span dir="ltr">&lt;<a href="mailto:thiagoo.anselmoo@gmail.com" target="_blank">thiagoo.anselmoo@gmail.com</a>&gt;</span> escreveu:<br>

</div><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;"><div dir="ltr">Se tiveres um IP FIXO no seu PABX liberando apenas para sua operadora a chance de ataque diminui 99% pois o resto nem um pacote ICMP vai deixar passar!<div>

<div><div>

<br></div><div>;)</div><div><br></div><div>Caso queiram posso fazer um mais elaborado e também com uma interface gráfica para o shell usando,&nbsp;<span style="text-align:justify;font-size:11px;background-color:rgb(239,239,239);font-family:Verdana,'DejaVu Sans';">xdialog!</span></div>

<div><span style="text-align:justify;font-size:11px;background-color:rgb(239,239,239);font-family:Verdana,'DejaVu Sans';"><br></span></div></div></div></div><div><div><div class="ecxgmail_extra"><br><br><div class="ecxgmail_quote">

Em 24 de setembro de 2013 12:00, Elieser Junior <span dir="ltr">&lt;<a href="mailto:zeljunior@gmail.com" target="_blank">zeljunior@gmail.com</a>&gt;</span> escreveu:<div><div><br><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;">

<div dir="ltr">Muito bom Thiago, parabéns pela iniciativa.<br><br></div><div class="ecxgmail_extra"><br><br><div class="ecxgmail_quote">Em 24 de setembro de 2013 11:59, Thiago Anselmo <span dir="ltr">&lt;<a href="mailto:thiagoo.anselmoo@gmail.com" target="_blank">thiagoo.anselmoo@gmail.com</a>&gt;</span> escreveu:<div>

<div><br>

<blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;"><div dir="ltr">Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e não IFGLOBAL...<div><br></div></div>

<div class="ecxgmail_extra"><br><br><div class="ecxgmail_quote">Em 24 de setembro de 2013 11:57, Thiago Anselmo <span dir="ltr">&lt;<a href="mailto:thiagoo.anselmoo@gmail.com" target="_blank">thiagoo.anselmoo@gmail.com</a>&gt;</span> escreveu:<div>

<div><br>

<blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;"><div dir="ltr"><div><br><br>Guilherme e outros amigos que tenha realmente a necessidade de ter um IP válido no seu asterisk use o seguinte firewall...</div>

<div><br></div><div>#!/bin/bash</div><div><br></div><div><div>REDE_OPERADORA="X.X.X.X/32"</div>

<div>REDE_INTERNA="<a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a>"</div><div><br></div><div>IFLOOPBACK="lo"</div><div>IFWAN="eth0"</div><div>IFLAN="eth1"</div><div>

<br></div><div>

<br></div><div># [ CRIA NOVAS CHAINS ]</div><div><br></div><div>iptables -N OPERADORA</div><div>iptables -N LAN</div><div><br></div><div># [ LIMPA TABELAS E CHAINS ]</div><div><br></div><div>iptables -F</div><div>iptables -F OPERADORA</div>

<div>iptables -F LAN</div><div><br></div><div># [ INSERIR CHAINS NAS TABELAS ]</div><div><br></div><div>iptables -A INPUT -j OPERADORA</div><div>iptables -A INPUT -j LAN</div><div><br></div><div># [ MODIFICA POLITICAS DE ACESSO ]</div>

<div><br></div><div>iptables -P INPUT DROP</div><div>iptables -P FORWARD DROP</div><div>iptables -P OUTPUT ACCEPT</div><div><br></div><div><br></div><div>#---------------------------- [ INICIO TABELA LAN ] ---------------------------#</div>

<div><br></div><div># LIBERA LOOPBACK</div><div>iptables -A INPUT -i $IFLOOPBACK -j ACCEPT</div><div><br></div><div>#---------------------------- [ INICIO TABELA LAN ] ---------------------------#</div><div><br></div><div>

# LIBERA REDE LOCAL</div><div>iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT</div><div><br></div><div>#---------------------------- [ INICIO TABELA OPERADORA ] ---------------------------#</div><div><br></div><div>

# LIBERA CONSULTA DNS GOOGLE</div>

<div>iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT</div><div>iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT</div><div><br></div><div># LIBERA ASTERISK OPERADORA</div><div>iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 -j ACCEPT</div>

<div>iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 -j ACCEPT</div><div><br></div><div># LIBERA RTP OPERADORA</div><div>iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m multiport --dport 10000:65535 -j ACCEPT</div>

<div>iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m multiport --dport 10000:65535 -j ACCEPT</div></div><div><br></div><div>OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua operadora e seu PABX utilizam para aumentar a segurança!</div>

<div><br></div><div>OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu banco de dados mysql ou qualquer liberado para fora, não deixar a porta do manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER 100% confiavel... &nbsp;E Deixar um Range de IP´S apenas do BR liberado na minha visão, é deixar um rombo no seu firewall!!&nbsp;</div>

<div><br></div><div>Bloquei tudo libere para quem tem acesso! Para ter um logo melhor procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com os logs de portas etc... "CUIDADO com o log pois poderás ter problema dependendo a ação tomada"</div>

<div><br></div><div>OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso algum provedor utilize dominio ao invéis de IP.</div><div><br></div><div>OBS4: Criamos Subtabelas de entrada apenas para quesito de organização do firewall e visualização melhor.. mais pode ser substituidos tudo por INPUT ;)</div>

<div><br></div><div>Abraço.</div></div><div class="ecxgmail_extra"><br><br><div class="ecxgmail_quote">Em 24 de setembro de 2013 11:26, jefaokpta <span dir="ltr">&lt;<a href="mailto:jefaokpta@hotmail.com" target="_blank">jefaokpta@hotmail.com</a>&gt;</span> escreveu:<div>

<div><br>

<blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;">Obrigado por compartilhar Guilherme.<br>

<br>

Em <a target="_blank">24-09-2013 09</a>:32, Guilherme Rezende escreveu:<br>

<div>&gt; #!/bin/bash<br>

&gt; ipt=/sbin/iptables<br>

&gt; $ipt -F<br>

&gt; $ipt -A INPUT -i eth2 -s <a href="http://172.16.5.0/24" target="_blank">172.16.5.0/24</a> -p udp -j ACCEPT<br>

&gt; $ipt -A INPUT -i eth2 -s <a href="http://186.0.0.0/8" target="_blank">186.0.0.0/8</a> -p udp -j ACCEPT<br>

&gt; $ipt -A INPUT -i eth2 -s <a href="http://187.0.0.0/8" target="_blank">187.0.0.0/8</a> -p udp -j ACCEPT<br>

&gt; $ipt -A INPUT -i eth2 -s <a href="http://177.0.0.0/8" target="_blank">177.0.0.0/8</a> -p udp -j ACCEPT<br>

&gt; $ipt -A INPUT -i eth2 -s <a href="http://179.0.0.0/8" target="_blank">179.0.0.0/8</a> -p udp -j ACCEPT<br>

&gt; $ipt -A INPUT -i eth2 -s <a href="http://189.0.0.0/8" target="_blank">189.0.0.0/8</a> -p udp -j ACCEPT<br>

&gt; $ipt -A INPUT -i eth2 -s <a href="http://200.0.0.0/8" target="_blank">200.0.0.0/8</a> -p udp -j ACCEPT<br>

&gt; $ipt -A INPUT -i eth2 -s <a href="http://201.0.0.0/8" target="_blank">201.0.0.0/8</a> -p udp -j ACCEPT<br>

&gt; $ipt -A INPUT -i eth2 -p udp -j DROP<br>

<br>

</div><div><div>_______________________________________________<br>

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>

Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>

_______________________________________________<br>

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>

Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>

_______________________________________________<br>

Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>

</div></div></blockquote></div></div></div><span><font color="#888888"><br><br clear="all"><div><br></div>-- <br>Thiago Anselmo

</font></span></div>

</blockquote></div></div></div><span><font color="#888888"><br><br clear="all"><div><br></div>-- <br>Thiago Anselmo

</font></span></div>

<br>_______________________________________________<br>

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>

Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>

_______________________________________________<br>

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>

Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>

_______________________________________________<br>

Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>

</div></div></div>

<br></div>

<br>_______________________________________________<br>

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>

Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>

_______________________________________________<br>

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>

Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>

_______________________________________________<br>

Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>

</div></div></div><span><font color="#888888">

<br><br clear="all"><div><br></div>-- <br>Thiago Anselmo

</font></span></div>

<br>_______________________________________________<br>

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>

Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>

_______________________________________________<br>

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>

Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>

_______________________________________________<br>

Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></div>

</div></blockquote></div>

<br></div>

<br>_______________________________________________<br>

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>

Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>

_______________________________________________<br>

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>

Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>

_______________________________________________<br>

Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>

</div>

<br><br clear="all"><div><br></div>-- <br>Thiago Anselmo

</div>

<br>_______________________________________________<br>

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>

Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>

_______________________________________________<br>

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>

Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>

_______________________________________________<br>

Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>

<br>_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conhe�a em www.Khomp.com.

_______________________________________________

ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank � Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</div>                                               </div></body>

</html>