[AsteriskBrasil] invasao

Guilherme Rezende asterisk em guilherme.eti.br
Quarta Março 16 23:54:34 BRT 2011 

Uma solução que achei, foi fechando um túnel VPN em todos os pontos onde 
a chegada até o servidor Asterisk fosse via Internet. Sendo assim, 
configuro nos gateways p/ se logarem por dentro desse tunel, 
impossibilitando os ataques de brute force oriundo da internet.
Abs..

> Eu já tinha ouvido falar deste fato de hora retornar inexistente hora 
> invalido.
>
> E por segurança a resposta sempre deveria ser usuário OU senha inválido.
>
> O que fiz por orientação da lista mesmo alwaysauthreject=yes no sip.conf
>
> Ouvi falar do fail to ban mas não implantei.
>
> A algum tempo implantei um firewall layer 7 em uma RouterBoard se o 
> cara receber um SIP/2.0 403enviado por uma porta 5060 de alguém da 
> interface interna para qualquer  porta saindo pela interface de 
> internet é banido por X horas.
>
> Lembrando a RouterBoard usa iptables e o projeto de firewall 7-layer.
>
> Em um Linux tem que copiar o arquivo da pasta de protocolos do 7-layer 
> e editar ele para conter algo como "sip\/[1-2]\.[0-9].403" não coloque 
> o "^"pra indicar inicio pois a primeira resposta não é 403, costuma 
> ser 401 para indicar que tem que usar senha e como é udp considera o 
> mesmo stream o que torna o segundo pacote uma continuação. Alguém pode 
> melhorar a string colocando um numero fixo de caracteres que existe no 
> primeiro pacote.
>
> *From:*asteriskbrasil-bounces em listas.asteriskbrasil.org 
> [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] *On Behalf 
> Of *jose
> *Sent:* terça-feira, 15 de março de 2011 14:01
> *To:* asteriskbrasil em listas.asteriskbrasil.org
> *Subject:* Re: [AsteriskBrasil] invasao
>
> Eder
>
> O pior de tudo é que nao tem tentativa de acesso nos ramais como 
> normalmente é feito, entrou pelo contexto from-sip-external
>
> Obrigado a todos pelas respostas
>
> abçs
>
> *From:*Eder Souza <mailto:eder.souza em bsd.com.br>
>
> *Sent:*Tuesday, March 15, 2011 9:41 AM
>
> *To:*asteriskbrasil em listas.asteriskbrasil.org 
> <mailto:asteriskbrasil em listas.asteriskbrasil.org>
>
> *Subject:*Re: [AsteriskBrasil] invasao
>
> É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) 
> com envio de informçãoes forjadas para simular registro em seu 
> servidor Asterisk!
>
> Desta maneira o protocolo SIP  sempre da uma resposta de retorno e 
> assim se consegue informação de ramais válidos dos seu servidor o 
> mesmo acontece para as suas senhas. tudo é venviado um range entre 1 à 
> 999 e todos os retornos sao analisados então apartir dos retornos dos 
> ramais válidos se inicia um outro ataque por dicionarios a procura das 
> senhas fracas de cada ramal válido!
>
> Com o Ramal  na mão e com a senha eles se conectam em seu servidor e 
> tentam iniciar ligações !
>
> Em meus testes contrui 1 script que faz algo parecido para achar 
> ramais válidos remotamente !
>
> http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/
> PS: modo primitivo que demonstra como é feito tudo ...
>
> Olhe com atenção em seus logs /var/log/asterisk/messages é bem 
> provável que vai encontrar varias tentativas de acesso a ramais !
>
> Ainda existe a possibilidade de discar sem cair no seu dialplan e 
> burlar qualquer tipo de contexto :-(. Este método ainda é totalmente 
> desconhecido pelos atacantes para a nossa sorte..
>
>
> Att,
>
>
> Eng Eder de Souza
>
> Em 15 de março de 2011 09:22, jose <jasanchez em terra.com.br 
> <mailto:jasanchez em terra.com.br>> escreveu:
>
> Bom dia  Pessoal
>
> Algum especialista poderia me explicar como esta acontecendo essa 
> invasao abaixo: Obrigado
>
> -- Executing [00442070661000 em from-sip-external:1] 
> NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection 
> from unknown peer to 00442070661000") in new stack
>
>     -- Executing [00442070661000 em from-sip-external:2] 
> Set("SIP/94.136.54.147-086b6658", "DID=00442070661000") in new stack
>
>     -- Executing [00442070661000 em from-sip-external:3] 
> Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack
>
>     -- Goto (from-sip-external,s,1)
>
>     -- Executing [s em from-sip-external:1] 
> GotoIf("SIP/94.136.54.147-086b6658", "0?from-trunk|00442070661000|1") 
> in new stack
>
>     -- Executing [s em from-sip-external:2] 
> Set("SIP/94.136.54.147-086b6658", "TIMEOUT(absolute)=15") in new stack
>
>     -- Channel will hangup at 2011-03-15 03:45:15 UTC.
>
>     -- Executing [s em from-sip-external:3] 
> Answer("SIP/94.136.54.147-086b6658", "") in new stack
>
>     -- Executing [s em from-sip-external:4] 
> Wait("SIP/94.136.54.147-086b6658", "2") in new stack
>
>   == Spawn extension (from-sip-external, s, 4) exited non-zero on 
> 'SIP/94.136.54.147-086b6658'
>
>     -- Executing [h em from-sip-external:1] 
> NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new stack
>
>     -- Executing [h em from-sip-external:2] 
> Set("SIP/94.136.54.147-086b6658", "DID=s") in new stack
>
>     -- Executing [h em from-sip-external:3] 
> Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack
>
>     -- Goto (from-sip-external,s,1)
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br 
> <http://www.khomp.com.br>
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br <http://www.voipmania.com.br>
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org 
> <mailto:AsteriskBrasil em listas.asteriskbrasil.org>
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco 
> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br 
> <http://www.khomp.com.br>
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br <http://www.voipmania.com.br>
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org 
> <mailto:AsteriskBrasil em listas.asteriskbrasil.org>
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco 
> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
> A informação contida nesta mensagem é confidencial e de propriedade da 
> Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por 
> engano, por favor: (i) apague a mensagem e todas as suas cópias e 
> anexos; (ii) não revele, distribua ou utilize a mensagem ou seu 
> conteúdo de qualquer maneira; e (iii) notifique o remetente 
> imediatamente. Adicionalmente, por favor esteja informado de que 
> qualquer mensagem endereçada ao domínio da Fidelity está sujeita ao 
> arquivamento e leitura por outros membros da companhia, além do 
> próprio destinatário da mensagem. A Fidelity agradece a sua colaboração.
>
> The information contained in this message is proprietary and/or 
> confidential. If you are not the intended recipient, please: (i) 
> delete the message and all copies; (ii) do not disclose, distribute or 
> use the message in any manner; and (iii) notify the sender 
> immediately. In addition, please be aware that any message addressed 
> to our domain is subject to archiving and review by persons other than 
> the intended recipient. Thank you.
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110316/25e27805/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil