IP público no server?!?!?! My Good, alguém realmente faz uma sandice dessas???
Acho que vou desencarnar e não terei lido tudo ... rsrsrsrsrsr No mínimo, mas mínimo mesmo: Internet <> Router <> Firewall <> [NAT] <> Asterisk [...]'s Marcio ======================================== ########### Campanha Ajude o Marcio! ########### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 ======================================== Em 31 de julho de 2013 12:37, Danilo Almeida <daniloricalme...@gmail.com>escreveu: > surgiu uma dúvida referente a esses ataques, como sou inexperiente nessa > parte de redes, não sei como funciona essas tentativas... > > como que eles descobrem o servidor na rede? > como conseguem fazer tantas tentativas de ataque simultaneamente? > > se alguém puder me esclarecer um pouco sobre esse assunto eu agradeço... > até mesmo porque, precisamos conhecer as técnicas para nos proteger. > > Obrigado > > > Em 31 de julho de 2013 13:33, Guilherme Rezende <aster...@guilherme.eti.br > > escreveu: > > Gente, eu não uso Fail2ban. Como esses ataques são oriundos de >> redes externas ao BR, fiz o bloqueio de todas as redes cujam origem não são >> BR. E resolveu!! Não tenho problemas c/ ataques mais... Os logs do meu >> Asterisk nunca mais exibiram tentativa de logar via sip nos meus >> servidores. Veja o código abaixo que é bem simples, libero apenas as redes >> que estão listadas, depois fecho tudo. Se não tiver necessidade de ter >> alguém externo que logue no seu servidor, o código abaixo resolve. >> Desative todas suas regras de iptables, desative todos os firewall´s e rode >> o script abaixo. >> >> #!/bin/bash >> ipt=/sbin/iptables >> $ipt -F >> $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT >> $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT >> $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT >> $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT >> $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT >> $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT >> $ipt -A INPUT -i eth2 -s 198.50.96.130 -p udp -j ACCEPT >> $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT >> $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT >> $ipt -A INPUT -i eth2 -p udp -j DROP >> >> >> >> Em 31/07/2013 13:12, Danilo Almeida escreveu: >> >> recebi várias tentativas neste final de semana, porém, o fail2ban >> bloqueiou. >> >> DROP all -- 173.242.120.42 anywhere >> Nome do Host: 173.242.120.42 IP Address: 173.242.120.42 País: United >> States <http://en.wikipedia.org/wiki/united%20states> [image: united >> states] Código do país: US (USA) Região: >> Pennsylvania<http://en.wikipedia.org/wiki/Pennsylvania> >> Cidade: Clarks Summit Código postal: 18411 Código tel.: >> +1<http://en.wikipedia.org/wiki/Area_code#United_States> >> Longitude: -75.728 Latitude: 41.4486 >> >> [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from >> '"shuang" <sip:shuang@IP-Servidor>' failed for '173.242.120.42:5061' - >> Wrong password >> >> [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from '"chu" >> <sip:chu@IP-servidor>' failed for '173.242.120.42:5081' - Wrong password >> >> [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from '"chu" >> <sip:chu@IP-servidor>' failed for '173.242.120.42:5081' - Wrong password >> >> [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from '"chu" >> <sip:chu@IP-servido>' failed for '173.242.120.42:5081' - Wrong password >> >> se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o >> invasor permanecia tentando no dia seguinte, agora dei um BAN permanente >> nele... rsrs >> >> >> Em 31 de julho de 2013 12:50, Thiago Anselmo >> <thiagoo.ansel...@gmail.com>escreveu: >> >>> Amigo, >>> >>> Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo >>> o fail2ban não pegou, pois eles não atacam penas 5060, existe outras >>> fomras!! >>> >>> Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP >>> público ligado a ele? >>> >>> me diga que podemos realizar formas de fazer com o IPTABLES!! E fica >>> bom!!! >>> Bloqueia tudo e libera apenas para quem você deseja! >>> >>> >>> Em 31 de julho de 2013 12:40, Marcio - Google <marci...@gmail.com>escreveu: >>> >>> Exatamente o que o Hudson disse ... >>>> Falha no dimensionamento e configuração. >>>> >>>> >>>> [...]'s >>>> >>>> Marcio >>>> >>>> ======================================== >>>> ########### Campanha Ajude o Marcio! ########### >>>> http://sosmarcio.blogspot.com.br/ >>>> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 >>>> ======================================== >>>> >>>> >>>> Em 31 de julho de 2013 11:06, Hudson Cardoso <hudsoncard...@hotmail.com >>>> > escreveu: >>>> >>>> O Fail2ban não pegou, porque ele ja conseguiu passar, isso >>>>> significa que o teu firewall não está corretamente >>>>> dimensionado, e/ou configurado. >>>>> No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um >>>>> guest pede acesso ao diaplan, simplesmente >>>>> dou HangUp em todos os Guest. >>>>> >>>>> >>>>> Hudson (048) 8413-7000 >>>>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma >>>>> prova precisa. >>>>> >>>>> >>>>> >>>>> > From: caiop...@gmail.com >>>>> > Date: Wed, 31 Jul 2013 11:47:25 -0300 >>>>> > To: asteriskbrasil@listas.asteriskbrasil.org >>>>> > Subject: [AsteriskBrasil] Ataque massivo a partir do IP >>>>> 67.207.137.49 >>>>> >>>>> > >>>>> > Eu estava sendo vítima de uma tentativa de ataque a partir do IP >>>>> > 67.207.137.49 (Rackspace Cloud Servers), >>>>> > Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no >>>>> iptables. >>>>> > Não investiguei a fundo o método do ataque, mas basicamente ele >>>>> estava >>>>> > tentando cavar uma falha no dialplan. >>>>> > >>>>> > No console apareceu: >>>>> > Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? >>>>> > Not a SIP header (tel:1900442075005000)? >>>>> > ... >>>>> > Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? >>>>> > Not a SIP header (tel:2440900442075005000)? >>>>> > >>>>> > Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29, >>>>> > 39, .... até chegar no 24409 quando eu bloqueei via iptables. >>>>> > >>>>> > Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há >>>>> logs gerados. >>>>> > >>>>> > O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode >>>>> > ser apenas um número teste - se o atacante receber "CONNECT", a >>>>> > tentativa foi bem sucedida e ele descarrega um caminhão de chamadas >>>>> > para outros destinos. >>>>> > >>>>> > Então vale o eterno conselho: fique de olho - não confie só no >>>>> fail2ban. >>>>> > _______________________________________________ >>>>> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>>>> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>>>> > Intercomunicadores para acesso remoto via rede IP. Conheça em >>>>> www.Khomp.com. >>>>> > _______________________________________________ >>>>> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>>>> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>>>> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>>>> > _______________________________________________ >>>>> > Para remover seu email desta lista, basta enviar um email em branco >>>>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>>>> >>>>> _______________________________________________ >>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>>>> www.Khomp.com. >>>>> _______________________________________________ >>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>>>> _______________________________________________ >>>>> Para remover seu email desta lista, basta enviar um email em branco >>>>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>>>> >>>> >>>> >>>> _______________________________________________ >>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>>> www.Khomp.com. >>>> _______________________________________________ >>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>>> _______________________________________________ >>>> Para remover seu email desta lista, basta enviar um email em branco >>>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>>> >>> >>> >>> >>> -- >>> Thiago Anselmo >>> >>> _______________________________________________ >>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>> www.Khomp.com. >>> _______________________________________________ >>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>> _______________________________________________ >>> Para remover seu email desta lista, basta enviar um email em branco para >>> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> >> >> >> >> -- >> *att* >> *Danilo Almeida* >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> > > > > -- > *att* > *Danilo Almeida* > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org