[AsteriskBrasil] AJUDA INVASÂO

Patrick EL Youssef wushumasters em gmail.com
Segunda Julho 15 13:31:07 BRT 2013 

Desculpe Mike,

Mas não entendi qual o problema da lista menor até porque eu liberarei 
apenas estes ips bloqueando todo o resto

Patrick

Em 15-07-2013 13:26, Mike Tesliuk escreveu:
> Desculpe companheiro, mas sumarizar nao é a solução, esta é a lista 
> oficial dos IPs, se você quer ter uma regra correta voce deve usar 
> algo deste formato, e vai por mim, isso nao muda com tanta frequencia 
> assim.
>
> O tempo que você diz que demora é o tempo pra montar a lista, mas voce 
> nao precisa carregar isso cada vez que voce faz um reload no firewall, 
> voce monta um arquivo e le o arquivo junto com seu firewall
>
> Em 15/07/13 11:19, Patrick EL Youssef escreveu:
>> Eu fiz uns testes já com essa porem só pra carregar o firewall leva 
>> um bom tempo
>>
>> Um colega ai da lista o SIlvio Garbes postou um firewall com uma 
>> lista de ips do Brasil bem menor
>>
>> Estarei tentando ela para ver
>>
>> Obrigado Mike
>> Em 15-07-2013 12:01, Mike Tesliuk escreveu:
>>>
>>> Este script pega a lista e gera um arquivo (ou ruleset do iptables) 
>>> para você, ele baixa a lista da lacnic cada vez que executa, entao 
>>> se houver alguma modificação voce atualiza
>>>
>>> Ex de uso: sh nome_do_script BR
>>>
>>> Ele vai perguntar a area, voce responde america latina, e o tipo que 
>>> voce quer, se é a lista ou o ruleset
>>>
>>> , ele ta com um erro na expressao regular que ele nao ta deixando 
>>> apenas o bloco, mas ai voce limpa facil com sed ou cut, se alguem 
>>> quiser corrigir (nao to com tempo neste momento) manda a correção 
>>> pra lista.
>>>
>>> PS: não sei quem é o autor, peguei uma vez na internet isso ai
>>>
>>> #!/bin/bash
>>>
>>> REV="$Revision: 4 $"
>>> VERSION="0.1"
>>> RELEASE=`echo ${REV} | awk '{ print $2}'`
>>>
>>> # Arg. check
>>> if [ "${1}" = "" ]; then
>>>   echo `basename ${0}`," v.${VERSION}.${RELEASE}"
>>>   echo "Usage Error: missing arguments"
>>>   echo ""
>>>   echo "   Usage: ${0} <country code>"
>>>   echo "   Country codes available at 
>>> http://www.maxmind.com/app/iso3166"
>>>   echo ""
>>>   exit
>>> else
>>> # too lazy to work on a script that will download from the right 
>>> server regarding what has been passed at the prompt :p
>>> # http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre
>>> echo "The country specified belongs to :"
>>> echo "1. Africa"
>>> echo "2. Asia/Pacific"
>>> echo "3. America"
>>> echo "4. Latin America/Caribbean"
>>> echo "5. Europe"
>>> echo ""
>>> echo -n "Your zone : "
>>> read ZONE
>>>
>>> echo ""
>>> echo "What kind of list do you want to generate ?"
>>> echo "1. A list of blocks : simple list, 1 block per line"
>>> echo "2. Iptables rulesets : you can set what comes before and after 
>>> the blocks"
>>> echo ""
>>> echo -n "Please make your choice [1/2] : "
>>>
>>> read LISTRULE
>>>
>>> if [ "${LISTRULE}" = "2" ]; then
>>>     echo "Please specify the prefix rule (e.g. : iptables -A INPUT -s)"
>>>     read PRERULE
>>>     echo "Specify the postfix rule (e.g. : -j DROP)"
>>>     read POSTRULE
>>> fi
>>>
>>>     # Afrinic (afrinic.net) : 
>>> ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest
>>>     # Apnic   (apnic.net)   : 
>>> ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest
>>>     # Arin    (arin.net)    : 
>>> ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest
>>>     # Lacnic  (lacnic.net)  : 
>>> ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest
>>>     # Ripe       (ripe.net)    : 
>>> ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest
>>>
>>>         LINK="ftp://ftp.apnic.net/public/stats/"
>>>
>>>     if [ "${ZONE}" = "1" ]; then
>>>         FILE="afrinic/delegated-afrinic-latest"
>>>     elif [ "${ZONE}" = "2" ]; then
>>>         FILE="apnic/assigned-apnic-latest"
>>>     elif [ "${ZONE}" = "3" ]; then
>>>         FILE="arin/delegated-arin-latest"
>>>     elif [ "${ZONE}" = "4" ]; then
>>>         FILE="lacnic/delegated-lacnic-latest"
>>>     elif [ "${ZONE}" = "5" ]; then
>>>     FILE="ripe-ncc/delegated-ripencc-latest"
>>>     fi
>>>
>>>     TMP="/tmp"
>>>     COUNTRY=${1}
>>>     OUT="${TMP}/blocks-${COUNTRY}"
>>>
>>>     cd ${TMP}
>>>     echo ""
>>>     echo "Download :"
>>>     /usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O 
>>> ${TMP}/db_${COUNTRY}
>>>     echo ""
>>>     rm -f ${OUT}
>>>
>>>     for country in ${COUNTRY}
>>>     do
>>>             IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" | 
>>> egrep '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re 
>>> "s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"` 
>>>
>>>
>>>             for ips in ${IPS}
>>>             do
>>>             if [ "${LISTRULE}" = "2" ]; then
>>>                     echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT}
>>>             else
>>>             echo "${ips}" >> ${OUT}
>>>             fi
>>>             done
>>>     done
>>>
>>>     echo "Block list saved as ${OUT}"
>>>     echo ""
>>>
>>>     rm -f ${FILE}
>>>
>>> fi
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> Em 15/07/13 10:55, Mike Tesliuk escreveu:
>>>> Aqui tem um exemplo pra bloquear um pais, é só inverter a logica e 
>>>> voce tem a liberação do pais e bloqueio do resto
>>>>
>>>> http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
>>>>
>>>>
>>>>
>>>>
>>>> Em 15/07/13 10:20, Patrick EL Youssef escreveu:
>>>>> Caio
>>>>>
>>>>> Pode postar a regra do firewall que usa pra bloquear esses ips?
>>>>>
>>>>> Valeu
>>>>>
>>>>> Em 15-07-2013 11:01, Caio Pato escreveu:
>>>>>> On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
>>>>>> <asteriskdebian2013 em gmail.com> wrote:
>>>>>>> uso FAIL2BAN como firewall!!
>>>>>> fail2ban não está mais sendo "eficiente" porque esses pulhas estão
>>>>>> fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
>>>>>> Antigamente eles despejavam 120 chamadas por vez. Testavam todos os
>>>>>> códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma
>>>>>> vez só. Agora, já mais "espertos", eles fazem apenas CINCO 
>>>>>> tentativas
>>>>>> por HORA, quando não fazem apenas quatro por hora, ao longo das 24
>>>>>> horas do dia. Eles tem todo o tempo da vida, porque quando 
>>>>>> conseguirem
>>>>>> descobrir um buraco no seu dialplan, vão entupir de chamadas para
>>>>>> países árabes e da África.
>>>>>>
>>>>>> Assim, não dá mais para confiar APENAS no fail2ban - é um método
>>>>>> ultrapassado de proteção.
>>>>>>
>>>>>> Não sei qual é a sua utilização do servidor (provedor? usuário?
>>>>>> corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.
>>>>>>
>>>>>> A ligação teste é *SEMPRE* feita para alguns telefones: um 
>>>>>> celular em
>>>>>> Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).
>>>>>>
>>>>>> NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada 
>>>>>> dia -
>>>>>> geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
>>>>>> servidor que efetivamente enviará as chamadas. Aqui (por ser
>>>>>> corporativo hospedado em datacenter) eu decidi bloquear geralmente o
>>>>>> /8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco
>>>>>> livre.
>>>>>>
>>>>>> Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no
>>>>>> dialplan e... monitorar a rede.
>>>>>>
>>>>>> Procure uma mensagem aqui na lista com o mesmo problema há alguns
>>>>>> meses. Um colega da lista foi "invadido" por esses pulhas e quem
>>>>>> detectou foi a área de segurança da empresa de telefonia - mas só no
>>>>>> dia seguinte da invasão... Ai o estrago já era grande demais.
>>>>>>
>>>>>>
>>>>>> Conclusão:
>>>>>> 1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia
>>>>>> logo o bloco (/16 ou /8) ou relaxa...
>>>>>> 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
>>>>>> partir da rede externa;
>>>>>> 3) Olhe seu log com frequência - procure por chamadas para um 
>>>>>> celular
>>>>>> em Israel (9725) ou Palestina (970);
>>>>>> 4) Crie um script para enviar todas as madrugadas o logo de todas as
>>>>>> chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo
>>>>>> que tardias, mas ajuda.
>>>>>> _______________________________________________
>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em 
>>>>>> www.Khomp.com.
>>>>>> _______________________________________________
>>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e 
>>>>>> SS7.
>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>>> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
>>>>>> _______________________________________________
>>>>>> Para remover seu email desta lista, basta enviar um email em 
>>>>>> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>>> _______________________________________________
>>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>>> _______________________________________________
>>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>>> _______________________________________________
>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130715/2b1db317/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil