Uma solução que achei, foi fechando um túnel VPN em todos os pontos onde
a chegada até o servidor Asterisk fosse via Internet. Sendo assim,
configuro nos gateways p/ se logarem por dentro desse tunel,
impossibilitando os ataques de brute force oriundo da internet.
Abs..
Eu já tinha ouvido falar deste fato de hora retornar inexistente hora
invalido.
E por segurança a resposta sempre deveria ser usuário OU senha inválido.
O que fiz por orientação da lista mesmo alwaysauthreject=yes no sip.conf
Ouvi falar do fail to ban mas não implantei.
A algum tempo implantei um firewall layer 7 em uma RouterBoard se o
cara receber um SIP/2.0 403enviado por uma porta 5060 de alguém da
interface interna para qualquer porta saindo pela interface de
internet é banido por X horas.
Lembrando a RouterBoard usa iptables e o projeto de firewall 7-layer.
Em um Linux tem que copiar o arquivo da pasta de protocolos do 7-layer
e editar ele para conter algo como "sip\/[1-2]\.[0-9].403" não coloque
o "^"pra indicar inicio pois a primeira resposta não é 403, costuma
ser 401 para indicar que tem que usar senha e como é udp considera o
mesmo stream o que torna o segundo pacote uma continuação. Alguém pode
melhorar a string colocando um numero fixo de caracteres que existe no
primeiro pacote.
*From:*asteriskbrasil-boun...@listas.asteriskbrasil.org
[mailto:asteriskbrasil-boun...@listas.asteriskbrasil.org] *On Behalf
Of *jose
*Sent:* terça-feira, 15 de março de 2011 14:01
*To:* asteriskbrasil@listas.asteriskbrasil.org
*Subject:* Re: [AsteriskBrasil] invasao
Eder
O pior de tudo é que nao tem tentativa de acesso nos ramais como
normalmente é feito, entrou pelo contexto from-sip-external
Obrigado a todos pelas respostas
abçs
*From:*Eder Souza <mailto:eder.so...@bsd.com.br>
*Sent:*Tuesday, March 15, 2011 9:41 AM
*To:*asteriskbrasil@listas.asteriskbrasil.org
<mailto:asteriskbrasil@listas.asteriskbrasil.org>
*Subject:*Re: [AsteriskBrasil] invasao
É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP)
com envio de informçãoes forjadas para simular registro em seu
servidor Asterisk!
Desta maneira o protocolo SIP sempre da uma resposta de retorno e
assim se consegue informação de ramais válidos dos seu servidor o
mesmo acontece para as suas senhas. tudo é venviado um range entre 1 à
999 e todos os retornos sao analisados então apartir dos retornos dos
ramais válidos se inicia um outro ataque por dicionarios a procura das
senhas fracas de cada ramal válido!
Com o Ramal na mão e com a senha eles se conectam em seu servidor e
tentam iniciar ligações !
Em meus testes contrui 1 script que faz algo parecido para achar
ramais válidos remotamente !
http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/
PS: modo primitivo que demonstra como é feito tudo ...
Olhe com atenção em seus logs /var/log/asterisk/messages é bem
provável que vai encontrar varias tentativas de acesso a ramais !
Ainda existe a possibilidade de discar sem cair no seu dialplan e
burlar qualquer tipo de contexto :-(. Este método ainda é totalmente
desconhecido pelos atacantes para a nossa sorte..
Att,
Eng Eder de Souza
Em 15 de março de 2011 09:22, jose <jasanc...@terra.com.br
<mailto:jasanc...@terra.com.br>> escreveu:
Bom dia Pessoal
Algum especialista poderia me explicar como esta acontecendo essa
invasao abaixo: Obrigado
-- Executing [00442070661000@from-sip-external:1]
NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection
from unknown peer to 00442070661000") in new stack
-- Executing [00442070661000@from-sip-external:2]
Set("SIP/94.136.54.147-086b6658", "DID=00442070661000") in new stack
-- Executing [00442070661000@from-sip-external:3]
Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1]
GotoIf("SIP/94.136.54.147-086b6658", "0?from-trunk|00442070661000|1")
in new stack
-- Executing [s@from-sip-external:2]
Set("SIP/94.136.54.147-086b6658", "TIMEOUT(absolute)=15") in new stack
-- Channel will hangup at 2011-03-15 03:45:15 UTC.
-- Executing [s@from-sip-external:3]
Answer("SIP/94.136.54.147-086b6658", "") in new stack
-- Executing [s@from-sip-external:4]
Wait("SIP/94.136.54.147-086b6658", "2") in new stack
== Spawn extension (from-sip-external, s, 4) exited non-zero on
'SIP/94.136.54.147-086b6658'
-- Executing [h@from-sip-external:1]
NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new stack
-- Executing [h@from-sip-external:2]
Set("SIP/94.136.54.147-086b6658", "DID=s") in new stack
-- Executing [h@from-sip-external:3]
Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack
-- Goto (from-sip-external,s,1)
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
<http://www.khomp.com.br>
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br <http://www.voipmania.com.br>
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
<mailto:AsteriskBrasil@listas.asteriskbrasil.org>
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco
para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
<mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org>
------------------------------------------------------------------------
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
<http://www.khomp.com.br>
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br <http://www.voipmania.com.br>
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
<mailto:AsteriskBrasil@listas.asteriskbrasil.org>
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco
para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
<mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org>
A informação contida nesta mensagem é confidencial e de propriedade da
Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por
engano, por favor: (i) apague a mensagem e todas as suas cópias e
anexos; (ii) não revele, distribua ou utilize a mensagem ou seu
conteúdo de qualquer maneira; e (iii) notifique o remetente
imediatamente. Adicionalmente, por favor esteja informado de que
qualquer mensagem endereçada ao domínio da Fidelity está sujeita ao
arquivamento e leitura por outros membros da companhia, além do
próprio destinatário da mensagem. A Fidelity agradece a sua colaboração.
The information contained in this message is proprietary and/or
confidential. If you are not the intended recipient, please: (i)
delete the message and all copies; (ii) do not disclose, distribute or
use the message in any manner; and (iii) notify the sender
immediately. In addition, please be aware that any message addressed
to our domain is subject to archiving and review by persons other than
the intended recipient. Thank you.
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org