Pessoal
Realmente o Alberto tem toda razao, falha humana, fiquei só monitorando o
fim de semana após deletar o ramal 100iax, e foi quando notei que na troca
da senha , eu tinha um ramal 100 iax e um sip (este foi criado para teste e
esqueci de deleta-lo) e foi aí que vi que o safado estava saidno pelo 100
sip com senha facil, depois de deleta-lo nao houve mais ligaçoes, estou
observando , nao alterie nem senha de root nem dos ramais, qualquer novidade
aviso
Obrigado a todos
Me parece que, sempre que lidamos com (in)segurança, nosso imaginário
nos remete às idéias literárias de William Gibson. Invasão, bugs em
softwares, exploração de falhas, ...eu, sinceramente, acho que não
houve nada disso.
Minha teoria tem conceitos mais simples:
- Massive port scan procurando servidores Asterisk que aceitem
conexões 'à buffet';
- Brute force, buscando 'ramais' com senhas null, sequenciais, etc...;
- No caso do José, é possível que, após a alteração da senha, o
'ramal' tenha continuado com a conexão ativa, o que possibilitaria
originar chamadas por mais algum tempo...só saberemos disso quando o
José responder a thread novamente.
Acho que nos dias de hoje, com a explosão de profissionais de revista
por aí, fica muito mais fácil buscar falha humana do que perder tempo
buscando bugs e tentando explorar falhas de segurança em software.
KISS.
--
Alberto Andrade
2010/6/11 Mario Augusto Mania <mario.ma...@gmail.com>:
Gente, acho que eh a primeira vez que escrevo a lista. Mas, devido ao
assunto, nao posso me calar.
Vejam, o asterisk eh um aplicativo servidor, ou seja, ela nada mais
nada menos serve conexoes TCP e UDP para os aplicativo clientes (ATAS
e Softfone, etc..).
A pratica normal eh instalar o asterisk no linux (normalmente centos
ou debian), eu porem utilizo ele no freebsd, justamente por trabalhar
com administracao de servidores de rede (e nao soh asterisk) tanto em
windows, quanto em linux e freebsd. A escolha do FreeBSD eh justamente
seguranca.
O questao da invasao, eh muito mais provavel que o invasor tenha
conseguido acesso ao servidor e nao necessariamente ao asterisk, e,
uma vez dentro do servidor, ele pode ter subido para root atraves de
algum rootkit, ou entao, como muitas vezes acontece, mesmo com usuario
normal ele consegue ler o sip.conf ou iax.conf porque as permissoes
nao foram setadas corretamente.
A partir dai ele consegue usar o asterisk sem necessariamente ter
invadido o mesmo, e sim o servidor onde ele se encontra.
Eh muito comum bugs em php e apache (que muita gente usa nos
servidores devido ao fato de utilizar a interface web do asterisk ou o
FOP), ou entao de aplicativos servidores desktop como servicos de som,
descoberta de rede etc... etc.., servicos esses que nem deveriam estar
sendo utilizados em um servidor, mas, infelizmente, muita gente
configura um servidor linux e instala o ambiente grafico para
administracao, ou seja, mais softwares instalados, mais chance de
bugs, mais chances de invasao.
Particularmente, meus servidores nao tem nada de interface grafica
instalada, para terem uma ideia, um servidor freebsd com asterisk,
tudo compilado do source, ou seja, nada instalado binario, ocupa menos
de 700megas no HD, porque soh instalo o necessario.
Desculpem pelo e-mail longo, mas espero que seja uma pequena ajuda
para que possamos mehorar a utilizacao dos softwares livre que tanto
sao difamados pela midia.
Para finalizar, cito o PESSIMO exemplo do FENIX LINUX, pra quem nao
conhece eh um verdade frankstein, todo cheio de gambiarra, que vem
instalado nesses computadores baratos populares vendido nas casas
bahia e etc..
Isso eh um pessimo exemplo de uso de linux, pois mais atrapaha que ajuda.
Atenciosamente
Mario A. Mania
Em 11 de junho de 2010 18:58, Leandro Augusto
<leandro.augu...@gmail.com> escreveu:
Provavelmente ele não deve estar utilizando o username para enviar a
chamada. Abaixo está alguns procedimentos que o Asterisk segue ao receber
uma conexão IAX, foi retirado do Voip Info. Verique se o iax.conf não
possui
nenhum usuário sem secret, e o principal, jamais utilize o contexto
default,
pois ali está a origem de muitos ataques.
Incoming Connections
When Asterisk receives an incoming IAX connection, the initial call
information can include a username (in the IAX2 USERNAME field) or not.
In
addition, the incoming connection has a source IP address that Asterisk
can
use for authentication as well.
If a username is supplied, Asterisk does the following:
Search iax.conf for a "type=user" entry with a section name (eg
[username])
matching the supplied username; if no matching entry is found, refuse the
connection.
If the found entry has allow and/or deny settings, compare the IP address
of
the caller to these lists. If the connection is not allowed, refuse the
connection.
Perform the desired secret checking (plaintext, md5 or rsa); if it fails,
refuse the connection.
Accept the connection and send the caller to the context specified in the
"context" setting for this iax.conf entry.
If a username is not supplied, Asterisk does the following:
Search for a "type=user" entry in iax.conf with no secret specified and
also
allow and/or deny restrictions that do not restrict the caller from
connecting. If such an entry is found, accept the connection, and use the
name of the found iax.conf entry as the connecting username.
Search for a "type=user" entry in iax.conf with no secret specified and
no
allow and/or deny restrictions at all. If such an entry is found, accept
the
connection. and use the name of the found iax.conf entry as the
connecting
username.
Search for a "type=user" entry in iax.conf with a secret (or RSA key)
specified and also allow and/or deny restrictions that do not restrict
the
caller from connecting. If such an entry is found, attempt to
authenticate
the caller using the specified secret or key, and if that passes, accept
the
connection, and use the name of the found iax.conf entry as the
connecting
username.
Search for a "type=user" entry in iax.conf with a secret (or RSA key)
specified and no allow and/or deny restrictions at all. If such an entry
is
found, attempt to authenticate the caller using the specified secret or
key,
and if that passes, accept the connection, and use the name of the found
iax.conf entry as the connecting username.
Em 11 de junho de 2010 16:22, Wagner <wag...@beetelecom.com.br> escreveu:
Concordo com as alternativas dos amigos, vc também pode utilizar as
linhas
permit e deny para liberar especificamente o IP deste seu ramal 100, se
o
peers estiver em local fixo fica o IP,
Poderia também utilizar nome ao inves de numero na criação do Peer e
definir o 100 no dialpan direto, não sei se em soluções baseadas em Free
PBX
isso é possivel, no asterisk puro dá , me corrijam se estiver errado.
Att
Wagner Penha
Bee Telecom
----- Original Message -----
From: Marcel - BrasilVox Telecom
To: asteriskbrasil@listas.asteriskbrasil.org
Sent: Friday, June 11, 2010 3:56 PM
Subject: Re: [AsteriskBrasil] invasao
Se o invasor está usando Brute Force em sua senha ** PS: "Mas acho
improvável para uma senha de 20 digitos" **
é fácil de localizar isto nos logs do asterisk, verifica em:
/var/log/asterisk/messages ou /var/log/asterisk/full ;; caso não os
tenha
é necessário ativar os logs!
Para ativar os logs:
/etc/asterisk/logger.conf
full => notice,warning,error,debug,verbose
NOTICE[2708] chan_iax2.c: Host xxx.xxx.xxx.xxx failed MD5 authentication
for '100' ....
terá muitas linhas com este dizer, se for sempre originado do mesmo IP ;
bloqueie o IP dele através de iptables:
Marcel
BrasilVox Telecom
www.brasilvox.com.br / voip.brasilvox.com.br
019 3323 0051
Em 11/6/2010 15:38, Alex Tavares Faiotto escreveu:
Eles podem estar usando um scan, que bate todos os digtos de senha a
descobrir a nova, a maneira e voce pearo ip de quem esta invadindo e
bloquear o mesmo.
Em 1 de junho de 2010 15:34, jose <jasanc...@terra.com.br> escreveu:
Boa tarde a todos
Tive probelmas com invasao , entraram no meu asterisk e fizeram ligaçao
para slovenia, egito, etc...., bom após ter descoberto, isso se deu em
um
ramal numero 100 , esse ramal é IAX2, bom o que eu fiz mudei a senha do
ramal coloquei com 20 numeros e letras, e para minha surpresa
invadiram novamente. com o mesmo numero de ramal. Nao posso fechar esse
ramal , alugume sabe me dizer de que forma estao descobrindo a minha
senha?o unico jeito que vejo é que essa pessoa descobriu a senha de
root, ou
tem outra maneira?
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência
de
Redes.
http://www.encontrovoipcenter.com.br
______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência
de
Redes.
http://www.encontrovoipcenter.com.br
______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
________________________________
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência
de
Redes.
http://www.encontrovoipcenter.com.br
______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
________________________________
No virus found in this incoming message.
Checked by AVG - www.avg.com
Version: 8.5.437 / Virus Database: 271.1.1/2931 - Release Date: 06/11/10
06:35:00
________________________________
Estou utilizando a versão gratuita de SPAMfighter para usuários
privados.
Foi removido 1854 emails de spam até hoje.
Os usuários pagantes não têm esta mensagem nos seus emails.
Experimente SPAMfighter de graça agora!
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência
de
Redes.
http://www.encontrovoipcenter.com.br
______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
Redes.
http://www.encontrovoipcenter.com.br
______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
Redes.
http://www.encontrovoipcenter.com.br
______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
--------------------------------------------------------------------------------
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
Redes.
http://www.encontrovoipcenter.com.br
______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Participe do I Encontro VoIPCenter, 08 a 10 de junho Rio de Janeiro.
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de Redes.
http://www.encontrovoipcenter.com.br
______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
