[AsteriskBrasil] Segurança no Asterisk

Alexandre Cavalcante Alencar alexandre.alencar em gmail.com
Quinta Abril 7 19:50:24 BRT 2016


Pessoal,

É impressão minha ou este FAL astSBC que estão "endeusando" nada mais é do
que uma tremenda gambiarra?

Mudança a ser executada no chan_sip.c como indicado no README.md presente
no GitHub:

             /* Bloqueio de Ramais SIP*/
             char block_str[256];
             strcpy(block_str, "/etc/asterisk/sip_security.sh ");
             strcat(block_str, ast_sockaddr_stringify(addr));
             system(block_str);

Caramba! Uma chamada system, script bash sendo executado com privilégio de
root (um dos processos é chamado pelo rc.local), strcat/strcpy sem checagem
de bounds... sem contar que será extremamente lento (criar processo,
iniciar o bash, executar o script, que irá lançar outro ciclo de processo
para rodar o iptables, para finalmente lançar uma regra no NetFilter)...

No GitHub, há apenas um README.md, esses scripts bash são particulares, ou
é possível obtê-los publicamente para análise?

Se um NetFilter (iptables não é packet filter, é apenas uma ferramenta para
administrar o NetFilter) configurado adequadamente, além de todos os demais
aspectos que envolvem a segurança de um sistema Linux e do Asterisk não
atendem suas necessidades de segurança, adicionar um novo elemento (como um
SBC), apenas trará mais um elemento para também precisar ser configurado
adequadamente para prover segurança.

Exemplo:

Cenários:
1. Linux/NetFilter --- Internet
2. Linux --- [Firewall <sua marca preferida aqui>] --- Internet

O cenário 2 não é mais seguro que o cenário um, pela simples presença do
dispositivo [Firewall <sua marca preferida aqui>], basicamente, agora terá
dois sistemas distintos a serem configurados adequadamente para que possam
desempenhar suas funções de forma segura. Não sei a que ponto acompanham as
notícias da área de segurança, mas ultimamente, os salvadores [Firewall
<sua marca preferida aqui>] passaram de solução a problema, com os inúmeros
bugs sérios de segurança e backdoors builtin.

Sds

Alexandre Alencar
Twitter @alexandreitpro
http://blog.alexandrealencar.net/
http://www.alexandrealencar.net/
http://www.alexandrealencar.com
http://www.servicosdeti.com.br/
COBIT, ITIL, CSM, LPI, MCP-I


2016-02-27 16:32 GMT-03:00 Gerson Raymond <geraymond at gmail.com>:

> Pequena Sugestão:
>
> Vyatta
>
>
> https://community.brocade.com/dtscp75322/attachments/dtscp75322/SoftwareNetworking/14/1/Vyatta_Firewall_Best_Practices.pdf
>
>
> https://www.vivaolinux.com.br/artigo/Vyatta-o-concorrente-livre-dos-roteadores-Cisco?pagina=6
>
>
> http://pplware.sapo.pt/tutoriais/networking/vyatta-transforme-o-seu-pc-num-routerfirewall-parteii/
>
>
>
>
>
> Em 21 de fevereiro de 2016 19:17, Bruno Correia <
> brunogomescorreia at gmail.com> escreveu:
>
>> Asterisk puro com freepbx por cima fica um pouco mais enxuto.
>>
>> Sobre a questão da VPN, que alguns colegas comentaram sobre custo e o
>> usuário ter de conectar "na mão".
>>
>> O caso que utilizo aqui é com uma pequena RB750 com OpenWRT + OpenVPN,
>> mando o roteador pré-configurado (conecta-se a VPN e recebe as rotas dos
>> demais lugares via iBGP, uso o quagga neles) para a localidade que vai ser
>> necessário o uso dos ramais. Só identifico a porta "WAN" e "LAN", então em
>> qualquer situação que ele (um leigo faz a conexão no local) conecte um cabo
>> na interface WAN e na rede tenho no mínimo o servidor DHCP que entregue as
>> definições de rede e esta esteja com acesso a internet a RB750 subirá na
>> VPN e o que estiver "atrás" dela conseguirá registrar os ramais através da
>> mesma.
>>
>> Em 20-02-2016 10:49, Judson Júnior escreveu:
>>
>>
>> Pode ser mesmo, Delphini. Acho que tens experiência o suficiente para
>> colocar na balança os prós e os contras do Elastix, mesmo que no seu modo
>> de ver só exista os contras rsrsrsrs.
>>
>> Mesmo assim fiquei curioso para saber como um Elastix poderia ser alvo de
>> Phreaker por traz de um firewall barrando tudo. Não estou falando de fogo
>> amigo, de dentro da rede, falo do cara de fora. Um cenário onde as chamadas
>> são completadas apenas por E1 e conexões remotas cheguem apenas por VPN.
>>
>> Já usei Asterisk puro em um projeto pessoal. Fica mais leve, mais fácil
>> de configurar. Usei num projeto chamado Joyphone, tem um vídeo no YouTube.
>>
>> Não é questão de ser "bom" o bastante para usar sem interface gráfica,
>> nem de respeito próprio ou com o cliente. Se você me fornecer algo mais
>> simples de administrar, onde eu consiga fazer um senhor de 60 anos
>> adicionar e remover ramais, gerar relatórios das chamadas ou montar uma URA
>> simples com meia dúzia de cliques ficarei eternamente grato. Falo sério.
>>
>> Onde eu trabalho várias pessoas precisam acessar o PABX para fazer
>> pequenas intervenções. Não pode ser só o especialista. Tem que ser amigável
>> mesmo, não tem outro jeito. O que você sugere no lugar do Elastix e por
>> qual motivo?
>>
>>
>>
>>
>>
>>
>>
>> Em 19 de fevereiro de 2016 14:59, Jefferson Alves Reis <
>> jefferson at jpbx.com.br> escreveu:
>>
>>> Calma professor rs.
>>> Deve ter pessoas q conseguem implementar elastix ou snep com um mínimo
>>> de segurança.
>>>
>>> Paz.
>>>
>>> Flws
>>> ------------------------------
>>> <http://www.jpbx.com.br>
>>> ------------------------------
>>> Em 19-02-2016 10:51, Angelo Delphini™ escreveu:
>>>
>>> Putz eu só entro em roubada aqui... Me desculpe mas você já está
>>> equivocado pois Elastix é sinônimo de "Venha PHERKERS (Craker de Telefonia)
>>> seja feita a sua vontade!".
>>>
>>> Pois bem, (Putz agora vão me matar!) na minha opinião quem usa Elastix
>>> não tem respeito PRÓPRIO  e nem com o CLIENTE!.
>>>
>>> Você é bom ? Então use uma solução em Asterisk boa!,
>>>
>>> Quer ser livre ? Use AstSBC da FAL... Uma solução desenvolvida por uma
>>> equipe de seguranças certificados em SIP Security da FAL Academy.
>>>
>>> Quer brincar de se MOLEQUE, use Elastix.
>>>
>>> Quer usar ambiente GRÁFICO por que tem medo de quebrar as UNHAS
>>> escrevendo código ?
>>>
>>> Então use SNEP!! 100% Nacional e com um dos maiores nomes em tecnologias
>>> associadas por traz, KHOMP!
>>>
>>>
>>> --
>>> Angelo de Barros Delphini - dCAA, dCAI, dCAI-TPT, dCSP-C, dCSE-C e dSSE.
>>> Linux User #472499 | Ubuntu User #22452
>>>
>>> [image: Perfil Angelo Delphini] <http://www.linkedin.com/in/delphini>
>>>    _
>>>   °v°         Asterisk Libre
>>>  /(_)\  <http://www.asterisklibre.org/>http://www.asterisklibre.org/
>>>   ^ ^
>>>  Seja livre, use Asterisk Puro!
>>>  --------------------------
>>>  Open Source \o/\o/ - Milhares de mentes abertas não podem estar
>>> enganadas!
>>>
>>>
>>>
>>>
>>> * Pense bem antes de imprimir Você esta preservando a natureza, as
>>> árvores agradecem! *
>>>
>>> Em 18 de fevereiro de 2016 16:42, Elieser Junior <zeljunior at gmail.com>
>>> escreveu:
>>>
>>>> Manda seu contato pra lhe adicionar na comunidade da FAL. Precisa ter o
>>>> telegram instalado no PC ou no celular
>>>> Em 18 de fev de 2016 2:15 PM, "Judson Júnior" <judson.jcj at gmail.com>
>>>> escreveu:
>>>>
>>>>> Olá Elieser. AstSBC da FAL? Link please...
>>>>>
>>>>> Em 18 de fevereiro de 2016 09:47, Elieser Junior <zeljunior at gmail.com>
>>>>> escreveu:
>>>>>
>>>>>> Utiliza Asterisk puro com o AstSBC da FAL, segurança total!
>>>>>> Em 17 de fev de 2016 9:58 PM, "Judson Júnior" <judson.jcj at gmail.com>
>>>>>> escreveu:
>>>>>>
>>>>>>> Senhores,
>>>>>>>
>>>>>>> Gostaria de colocar um pouco (ou melhor, bastante) de segurança nas
>>>>>>> minhas instalações Asterisk. Escolhi usar o Elastix 2.5.0.
>>>>>>>
>>>>>>> Tendo isso em mente, penso no Fail2Ban + iptables como primeiro
>>>>>>> passo, mas não parar aí. Já li que a segurança dessa dupla sobre o Asterisk
>>>>>>> não é muito boa.
>>>>>>>
>>>>>>> Para onde deve mirar? Será o caso de Session Border Controller com
>>>>>>> OpenSIPs ou Blox?
>>>>>>>
>>>>>>> Para um Asterisk que vai ter um tronco SIP com alguma operadora com
>>>>>>> número remoto, remais instalados em Smartfones acessando meu Asterisk, o
>>>>>>> que vocês recomendam?
>>>>>>>
>>>>>>> Por enquanto não é o objetivo usar SRTP. Quero me limitar à evitar
>>>>>>> invasão do PABX e ligações não autorizadas.
>>>>>>>
>>>>>>> Obrigado.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>>>>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>>>>>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>>>>>>> _______________________________________________
>>>>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>>>>> para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>>>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>>>>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>>>>>> _______________________________________________
>>>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>>>> para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>>>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>>>>> _______________________________________________
>>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>>> para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>>> Conheça todo o portfólio em <http://www.Khomp.com>www.Khomp.com
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>> para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicador e acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>>
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>
>>
>> --
>> <http://br.linkedin.com/in/brunocorr> * Bruno Correia*
>> Network Analyst
>> Information Security Specialist
>> (83) 98812-2235
>> (83) 99862-0224
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicador e acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>>
>
>
>
> --
>    _
>   °v°   Gerson Raymond
>  /(S)\   Linux user: # 448673
>   ^ ^    Asterisk user. # 1113
>
> Especialista em Segurança em Tecnologia da Informação | Bacharel em
> Ciência da Computação | Técnico em Telecomunicações | Técnico em Eletrônica
>
> Livros Publicados:
>
> BackTrack Linux - Auditoria e Teste de Invasão em Redes de Computadores
>
> Kali Linux - Introdução ao Penetration Testing
>
> Cloud Computing - Data Center Virtualizado - Gerenciamento, Monitoramneto
> e Segurança
>
>
> Sites:* www.grsecurity.com.br <http://www.grsecurity.com.br>* |
> www.ethicalhacker.com.br
>
> E-mails: gerson at grsecurity.com.br | gerson at ethicalhacker.com.br
> <gerson at backtrackbrasil.com.br>
>
> Grsecurity - "Inovando com Segurança"
>
> "Porque melhor é a sabedoria do que os rubis; e tudo o que mais se deseja
> não se pode comparar com ela." - Provérbios 8:11
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicador e acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe at listas.asteriskbrasil.org
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160407/c32eb598/attachment-0002.html>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160407/c32eb598/attachment-0003.html>


Mais detalhes sobre a lista de discussão AsteriskBrasil