Re: [AsteriskBrasil] Res: Res: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico Italo Rossi 
José Eduardo,

Usei o X-lite com a opção alwaysauthreject=yes e:

Peer EXISTENTE:

[09-11-04]14:49:17.200 | Info | RESIP:DUM | "Got: SipResp: 403  
tid=67e67d2ed75dc56a cseq=REGISTER / 2 from(wire)" |
[09-11-04]14:49:17.210 | Info | CCM | "Response code to SIP request  
did not match any entry specified in retry-response-list. Response:  
403[URI:x...@xxx]"

No visor: Registration error: 403 - Forbidden (Bad auth)

Peer INVÁLIDO:

[09-11-04]14:51:41.583 | Info | RESIP:DUM | "Got: SipResp: 403  
tid=5e033b14d1feec10 cseq=REGISTER / 2 from(wire)" |
[09-11-04]14:51:41.584 | Info | CCM | "Response code to SIP request  
did not match any entry specified in retry-response-list. Response:  
403[URI:x...@xxx]"

No visor: Registration error: 403 - Forbidden (Bad auth)

Os mesmos testes SEM alwaysauthreject, veja:

Peer INVÁLIDO:

[09-11-04]14:55:04.455 | Info | RESIP:DUM | "Got: SipResp: 404  
tid=6c8ef453611d666d cseq=REGISTER / 1 from(wire)" |
[09-11-04]14:55:04.456 | Info | CCM | "Response code to SIP request  
did not match any entry specified in retry-response-list. Response:  
404[URI:x...@xxx]"

No visor: Registration error: 404 - Not found

Peer EXISTENTE:

[09-11-04]14:56:13.403 | Info | RESIP:DUM | "Got: SipResp: 403  
tid=aef2611fe41a6e75 cseq=REGISTER / 2 from(wire)" |
[09-11-04]14:56:13.403 | Info | CCM | "Response code to SIP request  
did not match any entry specified in retry-response-list. Response:  
403[URI:x...@xxx]"

No visor: Registration error: 403 - Forbidden (Bad auth)

Testado com asterisk 1.4.26

Como você fez estes testes?

On Nov 4, 2009, at 2:37 PM, José Eduardo C. Mazolini wrote:

> Testei alwaysauthreject=yes
>
>
> Ainda sim o asterisk trata diferente. Ou seja comeu mais  
> processador, mais rede e o assunto mesmo não resolveu.
> Portanto tanto faz com ou sem.
>
> Ramal 1 inexistente:
> x-lite: REGISTER
> Asterisk: 401 Unauthorized
> x-lite: REGISTER
> Asterisk: 401 Unauthorized
> x-lite: REGISTER
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
> Asterisk: 401 Unauthorized
>
> Ramal 2 existente
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 401 Unauthorized
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 403 Forbidden (Bad auth)
>
>
> Eduardo Mazolini
> (19) 9191-2705
>
>
>
> - Mensagem original 
> De: Saulo Quinteiro 
> Para: asteriskbrasil@listas.asteriskbrasil.org
> Enviadas: Quarta-feira, 4 de Novembro de 2009 14:34:55
> Assunto: Re: [AsteriskBrasil] Res:  RES: Vulnerabilidade Asterisk
>
> José da uma olhada nesse link.
>
> http://www.voipexperts.com.br/tutoriais-sobre-asterisk-e-voip/seguranca-no-asterisk
>
> E um Firewall bem elaborado ajuda bastante tb.
> Vai ajudar no seu problema.
>
>
> Saulo Quinteiro Dos Santos
> Fone: 41-2141-9567
> Graduando em Ciência da Computação - UFPR
> msn : sauloquinte...@gmail.com
> e-mail: sa...@mpsinf.com.br
> cel : 41-9927-5236
>
>
>
>
> José Eduardo C. Mazolini escreveu:
>> Eu acabo de fazer um teste com X-LITE
>> E o asterisk é um problema, aconselho colocar um router SIP na  
>> frente e
>> tratar esse problema.
>> Ele não devia mostrar para o atacante qual ramal existe qual não.  
>> Pois
>> depois de identificado o ramal existente ele passa a testar senhas.
>>
>> Obrigado pela dica do programa pois é necessário criar algo  
>> automático
>> pra bloqueio de intrusos.
>> Já ouvi falar em um serviço semelhante a DNS onde são cadastrados
>> maquinas que geram ataque e esse registro dura algumas horas.
>> Assim se alguem atacar meu asterisk eu bloqueio e registro esse ip  
>> la,
>> vc antes de autorizar uma conexão já confere nesta lista se tiver  
>> vc ja
>> bloqueia de cara o atacante.
>>
>> Isso pode ser complicado pois alguem mal intencionado pode fazer  
>> falsas
>> acusações contra vc e vc fica bloqueado sem ter feito nada.
>> Mas criar uma base desta com controle sobre os que fazem a denucia,  
>> só
>> servidores da empresa, grupo de trabalho, empresas que possuem  
>> negocio
>> em comum pode ajudar.
>>
>> Observe o que aconteceu:
>>
>> Ramal 1 inexistente:
>> x-lite: REGISTER
>> Asterisk: 404 Not found
>>
>> Ramal 2 existente
>> x-lite: REGISTER
>> Asterisk: 100 Trying
>> Asterisk: 401 Unauthorized
>> x-lite: REGISTER
>> Asterisk: 100 Trying
>> Asterisk: 403 Forbidden (Bad auth)
>>
>>
>>
>>
>> Eduardo Mazolini
>> (19) 9191-2705
>>
>>
>> 
>> *De:* Luciano Antonio Borguetti Faustino > >
>> *Para:* asteriskbrasil@listas.asteriskbrasil.org
>> *En

[AsteriskBrasil] Res: Res: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico José Eduardo C . Mazolini 
Testei alwaysauthreject=yes

 
Ainda sim o asterisk trata diferente. Ou seja comeu mais processador, mais rede 
e o assunto mesmo não resolveu.
Portanto tanto faz com ou sem.

Ramal 1 inexistente:
x-lite: REGISTER
Asterisk: 401 Unauthorized
x-lite: REGISTER
Asterisk: 401 Unauthorized
x-lite: REGISTER
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized
Asterisk: 401 Unauthorized

Ramal 2 existente
x-lite: REGISTER
Asterisk: 100 Trying
Asterisk: 401 Unauthorized
x-lite: REGISTER
Asterisk: 100 Trying
Asterisk: 403 Forbidden (Bad auth)


Eduardo Mazolini
(19) 9191-2705



- Mensagem original 
De: Saulo Quinteiro 
Para: asteriskbrasil@listas.asteriskbrasil.org
Enviadas: Quarta-feira, 4 de Novembro de 2009 14:34:55
Assunto: Re: [AsteriskBrasil] Res:  RES: Vulnerabilidade Asterisk

José da uma olhada nesse link.

http://www.voipexperts.com.br/tutoriais-sobre-asterisk-e-voip/seguranca-no-asterisk

E um Firewall bem elaborado ajuda bastante tb.
Vai ajudar no seu problema.


Saulo Quinteiro Dos Santos
Fone: 41-2141-9567
Graduando em Ciência da Computação - UFPR
msn : sauloquinte...@gmail.com
e-mail: sa...@mpsinf.com.br
cel : 41-9927-5236




José Eduardo C. Mazolini escreveu:
> Eu acabo de fazer um teste com X-LITE
> E o asterisk é um problema, aconselho colocar um router SIP na frente e 
> tratar esse problema.
> Ele não devia mostrar para o atacante qual ramal existe qual não. Pois 
> depois de identificado o ramal existente ele passa a testar senhas.
> 
> Obrigado pela dica do programa pois é necessário criar algo automático 
> pra bloqueio de intrusos.
> Já ouvi falar em um serviço semelhante a DNS onde são cadastrados 
> maquinas que geram ataque e esse registro dura algumas horas.
> Assim se alguem atacar meu asterisk eu bloqueio e registro esse ip la, 
> vc antes de autorizar uma conexão já confere nesta lista se tiver vc ja 
> bloqueia de cara o atacante.
> 
> Isso pode ser complicado pois alguem mal intencionado pode fazer falsas 
> acusações contra vc e vc fica bloqueado sem ter feito nada.
> Mas criar uma base desta com controle sobre os que fazem a denucia, só 
> servidores da empresa, grupo de trabalho, empresas que possuem negocio 
> em comum pode ajudar.
> 
> Observe o que aconteceu:
> 
> Ramal 1 inexistente:
> x-lite: REGISTER
> Asterisk: 404 Not found
> 
> Ramal 2 existente
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 401 Unauthorized
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 403 Forbidden (Bad auth)
> 
> 
> 
>  
> Eduardo Mazolini
> (19) 9191-2705
> 
> 
> 
> *De:* Luciano Antonio Borguetti Faustino 
> *Para:* asteriskbrasil@listas.asteriskbrasil.org
> *Enviadas:* Quarta-feira, 4 de Novembro de 2009 13:40:10
> *Assunto:* Re: [AsteriskBrasil] RES: Vulnerabilidade Asterisk
> 
> Eder,
> 
> Interessante, 
> 
> Trantando o problema mais profissionamente acoselho a instalação de um 
> IDS/IPS (Snort por exemplo -http://www.snort.org/), onde você consegue 
> identificar esses tipos de ataques e criar ações, como exemplo o 
> bloqueio do host atacante.
> 
> []s,
> 
> 2009/11/4 Itamar Reis Peixoto  >
> 
> eu continuo com a minha opiniao de que iptables e' pra boiola
> 
> route add -host 208.38.164.96 reject
> 
> resolve o problema !
> 
> 
> 
> 2009/11/4 Eder Souza  >
>  >
>  > Log do Asterisk segue ae para vc ver um ataque massivo chutando
> users sips, repare quantos users ele conseguiu chutar em apenas um
> segundo !!!
>  >
>  >
>  > uma amostra do log referente ao ataque !!!
>  >
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"0"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"1"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"2"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"3"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"4"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"5"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"6"' failed for '208.38.1