Pessoal, Utilizem a dica postada http://sb.eti.br/?p=13, isso vai acabar com o problema de invasão pelo SIP.
Abs. Em 25 de setembro de 2013 14:51, chicolet <chico...@bol.com.br> escreveu: > Obrigado. > > Sds, > Chicolet > > ------------------------------ > > *De:* Mike Tesliuk < m...@tesliuk.com > > *Enviada:* Quarta-feira, 25 de Setembro de 2013 10:44 > > *Para:* asteriskbrasil@listas.asteriskbrasil.org > *Assunto:* Re: [AsteriskBrasil] Tentativa de invasao > > > Dae, > > Cara eu nao usei, na verdade a unica coisa que usei da Pika foi um driver > pra fax a muito tempo atrás, os caras são bons de suporte e pós venda. > > Quanto a troughtput e coisas do genero, da uma olhada porque eles sempre > fazem algum tipo de webinar para falar sobre o produto, eu penso que é algo > feito para um pabx e não para um sip proxy, então em teoria não deve ter > problema. > > Como eu disse, foi apenas para conhecimento mesmo que eu passei. > > > Eu essa parte eu tenho literalmente todos os meus servidores expostos na > internet, isso varia entre asterisk e opensips, basicamente eu tenho > firewall nestes caras, os meus opensips eu uso apenas para falar com > clientes ou operadoras com ip fixo então tudo é bloqueado por ip, mas > claro, existem muitas linhas de código no opensips para fazer a validação > do cliente, mesmo se ele estiver dentro de um ip liberado. > > talvez e xista alguma brecha ainda, mas ainda não encontramos, a maior > parte de falhas de segurança que temos é com senhas fracas ou coisas do > tipo. > > > uma coisa que faz toda a diferença é o username que voce cria, > dificilmente voce ve tentativa de login com username acima de 4 digitos, eu > utilizo 18 caracteres no username, 10 caracteres na senha (todos gerados de > forma aleatoria, nao permito o cliente definir a senha dele), no caso de > pabx ainda tem a questão de sempre utilizar senha para fazer as chamadas > porque mesmo que o cara consiga acesso a uma conta, ele ainda tem que > conseguir a senha, ai voce tem outros detalhes para minimizar impacto se > ainda assim voce for comprometido, como contas de usuários com saldo baixo, > limite na quantidade de chamadas simultaneas. > > Eu tenho que começar a fazer agora um script para havaliar o perfil de > ligação para detectar chamadas de perfil diferente, tipo , o cara só liga > pra brasil e ai começa a sair ligação pra cuba, china, ou sei la onde, isso > é fora do padrão, entao tem que ser alertado. > > Um outro detalhe também é não habilitar chamadas internacionais a menos > que seja realmente necessario, dificimente voce vai ver alguem falar que > sofreu invasao e o cara saiu ligando para numero no brasil. > > > > Em 25/09/13 08:56, chicolet escreveu: > > Mike Tesliuk, > > Bom dia. > > Muito interessante esse micro Firewall da Pika Technologies. > > Ele tem um bom throughput para evitar problemas na qualidade da voz? > > Você utilizou este dispositivo em algum projeto? > > Obrigado, > Chicolet > > *De:* Mike Tesliuk < > m...@tesliuk.com<http://../../../undefined/compose?to=m...@tesliuk.com>> > *Enviada:* Terça-feira, 24 de Setembro de 2013 14:40 > *Para:* > asteriskbrasil@listas.asteriskbrasil.org<http://../../../undefined/compose?to=asteriskbrasil@listas.asteriskbrasil.org> > *Assunto:* Re: [AsteriskBrasil] Tentativa de invasao > > apenas a titulo de curiosidade. > > http://www.pikatechnologies.com/english/view.asp?x=1294 > > isso pode interessar para algumas pessoas > > > Em 24/09/13 13:21, Thiago Anselmo escreveu: > > OK!! > > Irei fazer e depois envio para o pessoal e abro um tópico sobre isso! > > > Em 24 de setembro de 2013 13:48, Hudson Cardoso <hudsoncard...@hotmail.com > > escreveu: > >> IDEM ... >> >> >> Hudson >> (048) 8413-7000 >> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova >> precisa. >> >> ------------------------------ >> Date: Tue, 24 Sep 2013 13:44:18 -0300 >> From: zeljun...@gmail.com >> >> To: asteriskbrasil@listas.asteriskbrasil.org >> Subject: Re: [AsteriskBrasil] Tentativa de invasao >> >> Asterisk 1.8 na nuvem, máquina com IP público 201.X.X.X. utilizo Debian >> Wheezy. >> Em 24/09/2013 12:19, "Thiago Anselmo" <thiagoo.ansel...@gmail.com> >> escreveu: >> >> me digam qual seus cenários. >> >> >> Em 24 de setembro de 2013 12:13, Elieser Junior >> <zeljun...@gmail.com>escreveu: >> >> Thiago, seria interessante. >> Se puder contribuir mais, agradecemos. >> >> >> Em 24 de setembro de 2013 12:05, Thiago Anselmo < >> thiagoo.ansel...@gmail.com> escreveu: >> >> Se tiveres um IP FIXO no seu PABX liberando apenas para sua operadora a >> chance de ataque diminui 99% pois o resto nem um pacote ICMP vai deixar >> passar! >> >> ;) >> >> Caso queiram posso fazer um mais elaborado e também com uma interface >> gráfica para o shell usando, xdialog! >> >> >> >> Em 24 de setembro de 2013 12:00, Elieser Junior >> <zeljun...@gmail.com>escreveu: >> >> >> Muito bom Thiago, parabéns pela iniciativa. >> >> >> Em 24 de setembro de 2013 11:59, Thiago Anselmo < >> thiagoo.ansel...@gmail.com>escreveu: >> >> Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e >> não IFGLOBAL... >> >> >> >> Em 24 de setembro de 2013 11:57, Thiago Anselmo < >> thiagoo.ansel...@gmail.com>escreveu: >> >> >> >> Guilherme e outros amigos que tenha realmente a necessidade de ter um IP >> válido no seu asterisk use o seguinte firewall... >> >> #!/bin/bash >> >> REDE_OPERADORA="X.X.X.X/32" >> REDE_INTERNA="192.168.1.0/24" >> >> IFLOOPBACK="lo" >> IFWAN="eth0" >> IFLAN="eth1" >> >> >> # [ CRIA NOVAS CHAINS ] >> >> iptables -N OPERADORA >> iptables -N LAN >> >> # [ LIMPA TABELAS E CHAINS ] >> >> iptables -F >> iptables -F OPERADORA >> iptables -F LAN >> >> # [ INSERIR CHAINS NAS TABELAS ] >> >> iptables -A INPUT -j OPERADORA >> iptables -A INPUT -j LAN >> >> # [ MODIFICA POLITICAS DE ACESSO ] >> >> iptables -P INPUT DROP >> iptables -P FORWARD DROP >> iptables -P OUTPUT ACCEPT >> >> >> #---------------------------- [ INICIO TABELA LAN ] >> ---------------------------# >> >> # LIBERA LOOPBACK >> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT >> >> #---------------------------- [ INICIO TABELA LAN ] >> ---------------------------# >> >> # LIBERA REDE LOCAL >> iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT >> >> #---------------------------- [ INICIO TABELA OPERADORA ] >> ---------------------------# >> >> # LIBERA CONSULTA DNS GOOGLE >> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT >> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT >> >> # LIBERA ASTERISK OPERADORA >> iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 -j >> ACCEPT >> iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 -j >> ACCEPT >> >> # LIBERA RTP OPERADORA >> iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m multiport >> --dport 10000:65535 -j ACCEPT >> iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m multiport >> --dport 10000:65535 -j ACCEPT >> >> OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua >> operadora e seu PABX utilizam para aumentar a segurança! >> >> OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto >> DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu >> banco de dados mysql ou qualquer liberado para fora, não deixar a porta do >> manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER >> 100% confiavel... E Deixar um Range de IP´S apenas do BR liberado na minha >> visão, é deixar um rombo no seu firewall!! >> >> Bloquei tudo libere para quem tem acesso! Para ter um logo melhor >> procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com >> os logs de portas etc... "CUIDADO com o log pois poderás ter problema >> dependendo a ação tomada" >> >> OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso >> algum provedor utilize dominio ao invéis de IP. >> >> OBS4: Criamos Subtabelas de entrada apenas para quesito de organização do >> firewall e visualização melhor.. mais pode ser substituidos tudo por INPUT >> ;) >> >> Abraço. >> >> >> Em 24 de setembro de 2013 11:26, jefaokpta <jefaok...@hotmail.com>escreveu: >> >> >> Obrigado por compartilhar Guilherme. >> >> Em 24-09-2013 09:32, Guilherme Rezende escreveu: >> > #!/bin/bash >> > ipt=/sbin/iptables >> > $ipt -F >> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT >> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT >> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT >> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT >> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT >> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT >> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT >> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT >> > $ipt -A INPUT -i eth2 -p udp -j DROP >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> >> >> >> -- >> Thiago Anselmo >> >> >> >> >> -- >> Thiago Anselmo >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> >> >> >> -- >> Thiago Anselmo >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> >> >> >> -- >> Thiago Anselmo >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> _______________________________________________ KHOMP: completa linha >> de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para >> SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. >> Conhe�a em www.Khomp.com. >> _______________________________________________ ALIGERA � Fabricante >> nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e >> 8E1 para PCI ou PCI Express. Channel Bank � Appliance Asterisk - Acesse >> www.aligera.com.br. _______________________________________________ Para >> remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > > > > -- > Thiago Anselmo > > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > <http://../undefined/compose?to=asteriskbrasil-unsubscr...@listas.asteriskbrasil.org> > > > > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > <http://../../../undefined/compose?to=asteriskbrasil-unsubscr...@listas.asteriskbrasil.org> > > > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > -- Sylvio Jollenbeck www.hosannatecnologia.com.br
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org