[AsteriskBrasil] AJUDA INVASÂO

asteriskdebian asterisk asteriskdebian2013 em gmail.com
Segunda Julho 15 13:30:40 BRT 2013


Então depois de tudo isso minha visão sobre isso é, Bloquear todo a acesso
de INPUT no asterisk, e liberar aspenas o aceso dos IPS das operadoras! Com
isso creio que não terei problemas! E sempre ficar visualizando os Logs!

Irei fazer isso mesmo que nosso amigo nos disse! Irei criar um scipr para
que seja feito um análise nos logs e enviado automaticamente por email,
pois apenas FAIL2BAN e senhas milagrosas ja vi que não é 100% ajuda, mais
ainda não é o suficiente!

Pessoal, acho que esse tópico é uma boa para discotir a questão de
segurança e como implementar uma boa politica de segurança!

Obrigado!

Att
Luiz


Em 15 de julho de 2013 12:19, Patrick EL Youssef
<wushumasters em gmail.com>escreveu:

>  Eu fiz uns testes já com essa porem só pra carregar o firewall leva um
> bom tempo
>
> Um colega ai da lista o SIlvio Garbes postou um firewall com uma lista de
> ips do Brasil bem menor
>
> Estarei tentando ela para ver
>
> Obrigado Mike
> Em 15-07-2013 12:01, Mike Tesliuk escreveu:
>
>
> Este script pega a lista e gera um arquivo (ou ruleset do iptables) para
> você, ele baixa a lista da lacnic cada vez que executa, entao se houver
> alguma modificação voce atualiza
>
> Ex de uso: sh nome_do_script BR
>
> Ele vai perguntar a area, voce responde america latina, e o tipo que voce
> quer, se é a lista ou o ruleset
>
> , ele ta com um erro na expressao regular que ele nao ta deixando apenas o
> bloco, mas ai voce limpa facil com sed ou cut, se alguem quiser corrigir
> (nao to com tempo neste momento) manda a correção pra lista.
>
> PS: não sei quem é o autor, peguei uma vez na internet isso ai
>
> #!/bin/bash
>
> REV="$Revision: 4 $"
> VERSION="0.1"
> RELEASE=`echo ${REV} | awk '{ print $2}'`
>
> # Arg. check
> if [ "${1}" = "" ]; then
>   echo `basename ${0}`," v.${VERSION}.${RELEASE}"
>   echo "Usage Error: missing arguments"
>   echo ""
>   echo "   Usage: ${0} <country code>"
>   echo "   Country codes available at http://www.maxmind.com/app/iso3166"
>   echo ""
>   exit
> else
> # too lazy to work on a script that will download from the right server
> regarding what has been passed at the prompt :p
> # http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre
> echo "The country specified belongs to :"
> echo "1. Africa"
> echo "2. Asia/Pacific"
> echo "3. America"
> echo "4. Latin America/Caribbean"
> echo "5. Europe"
> echo ""
> echo -n "Your zone : "
> read ZONE
>
> echo ""
> echo "What kind of list do you want to generate ?"
> echo "1. A list of blocks : simple list, 1 block per line"
> echo "2. Iptables rulesets : you can set what comes before and after the
> blocks"
> echo ""
> echo -n "Please make your choice [1/2] : "
>
> read LISTRULE
>
> if [ "${LISTRULE}" = "2" ]; then
>     echo "Please specify the prefix rule (e.g. : iptables -A INPUT -s)"
>     read PRERULE
>     echo "Specify the postfix rule (e.g. : -j DROP)"
>     read POSTRULE
> fi
>
>     # Afrinic (afrinic.net) :
> ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest
>     # Apnic   (apnic.net)   :
> ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest
>     # Arin    (arin.net)    :
> ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest
>     # Lacnic  (lacnic.net)  :
> ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest
>     # Ripe       (ripe.net)    :
> ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest
>
>         LINK="ftp://ftp.apnic.net/public/stats/"<ftp://ftp.apnic.net/public/stats/>
>
>     if [ "${ZONE}" = "1" ]; then
>         FILE="afrinic/delegated-afrinic-latest"
>     elif [ "${ZONE}" = "2" ]; then
>         FILE="apnic/assigned-apnic-latest"
>     elif [ "${ZONE}" = "3" ]; then
>         FILE="arin/delegated-arin-latest"
>     elif [ "${ZONE}" = "4" ]; then
>         FILE="lacnic/delegated-lacnic-latest"
>     elif [ "${ZONE}" = "5" ]; then
>     FILE="ripe-ncc/delegated-ripencc-latest"
>     fi
>
>     TMP="/tmp"
>     COUNTRY=${1}
>     OUT="${TMP}/blocks-${COUNTRY}"
>
>     cd ${TMP}
>     echo ""
>     echo "Download :"
>     /usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O ${TMP}/db_${COUNTRY}
>     echo ""
>     rm -f ${OUT}
>
>     for country in ${COUNTRY}
>     do
>             IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" | egrep
> '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re
> "s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"`
>
>
>             for ips in ${IPS}
>             do
>             if [ "${LISTRULE}" = "2" ]; then
>                     echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT}
>             else
>             echo "${ips}" >> ${OUT}
>             fi
>             done
>     done
>
>     echo "Block list saved as ${OUT}"
>     echo ""
>
>     rm -f ${FILE}
>
> fi
>
>
>
>
>
>
>
>
> Em 15/07/13 10:55, Mike Tesliuk escreveu:
>
> Aqui tem um exemplo pra bloquear um pais, é só inverter a logica e voce
> tem a liberação do pais e bloqueio do resto
>
> http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
>
>
>
>
> Em 15/07/13 10:20, Patrick EL Youssef escreveu:
>
> Caio
>
> Pode postar a regra do firewall que usa pra bloquear esses ips?
>
> Valeu
>
> Em 15-07-2013 11:01, Caio Pato escreveu:
>
> On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
> <asteriskdebian2013 em gmail.com> <asteriskdebian2013 em gmail.com> wrote:
>
> uso FAIL2BAN como firewall!!
>
> fail2ban não está mais sendo "eficiente" porque esses pulhas estão
> fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
> Antigamente eles despejavam 120 chamadas por vez. Testavam todos os
> códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma
> vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativas
> por HORA, quando não fazem apenas quatro por hora, ao longo das 24
> horas do dia. Eles tem todo o tempo da vida, porque quando conseguirem
> descobrir um buraco no seu dialplan, vão entupir de chamadas para
> países árabes e da África.
>
> Assim, não dá mais para confiar APENAS no fail2ban - é um método
> ultrapassado de proteção.
>
> Não sei qual é a sua utilização do servidor (provedor? usuário?
> corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.
>
> A ligação teste é *SEMPRE* feita para alguns telefones: um celular em
> Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).
>
> NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia -
> geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
> servidor que efetivamente enviará as chamadas. Aqui (por ser
> corporativo hospedado em datacenter) eu decidi bloquear geralmente o
> /8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco
> livre.
>
> Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no
> dialplan e... monitorar a rede.
>
> Procure uma mensagem aqui na lista com o mesmo problema há alguns
> meses. Um colega da lista foi "invadido" por esses pulhas e quem
> detectou foi a área de segurança da empresa de telefonia - mas só no
> dia seguinte da invasão... Ai o estrago já era grande demais.
>
>
> Conclusão:
> 1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia
> logo o bloco (/16 ou /8) ou relaxa...
> 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
> partir da rede externa;
> 3) Olhe seu log com frequência - procure por chamadas para um celular
> em Israel (9725) ou Palestina (970);
> 4) Crie um script para enviar todas as madrugadas o logo de todas as
> chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo
> que tardias, mas ajuda.
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130715/9c709590/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil