[AsteriskBrasil] Segurança no Asterisk

Hudson Cardoso hudsoncardoso em hotmail.com
Sexta Abril 8 23:49:59 BRT 2016


Esse foi apenas uma parte do meu contexto, um pequeno exemplo de como fortificar a segurança
existem outras tratativas, que não estão aí, justamente pra não gerar flames.
Tente você mesmo chamar : 01132851521 em sip.vemligar.com
Entenderás melhor o que digo.
Não precisa de senha, nem de user.
Tive essa ideia  vendo um dos artigos do Silvio Joelemberk



Hudson 
(048) 8413-7000
Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. 

From: eduardo.boabaid em gmail.com
Date: Fri, 8 Apr 2016 16:56:25 -0300
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Segurança no Asterisk

Hudson,
Esse método é interessante.Só faltou falar pra habilitar o allowguest pra funcionar.
Só que não resolveria para tentativas de brute-force de senhas, confere?


Sent with MailTrack
Em 8 de abril de 2016 14:17, Hudson Cardoso <hudsoncardoso em hotmail.com> escreveu:



Realmente, chamar outros processos dentro do sistema não é muito bom, principalmente em alto tráfego.
Para diminuir os ataques, fiz isso dentro do contexto default do asterisk, resolveu quase 99%.
Deve ainda ter mais furos, que ainda vou descobrir, seu comentário foi mui proveitoso.

            if(${EXTEN}>10000)
                            {answer;
                             noop(tentativa de invasao de : ${peerip}, discando ${EXTEN});
                             noop(desligando e colocando o invasor no iptables ip = ${CHANNEL(peerip)} );
                             system(sbin/iptables -I INPUT -s ${CHANNEL(peerip)} -j DROP);
                             hangup;
                            }
           // caso ele acerte um numero de conta, mas com senha errada
          answer;
          playback(/etc/asterisk/sounds/invasao);}
           hangup;


Hudson 
(048) 8413-7000
Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. 

From: alexandre.alencar em gmail.com
Date: Thu, 7 Apr 2016 19:50:24 -0300
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Segurança no Asterisk

Pessoal,
É impressão minha ou este FAL astSBC que estão "endeusando" nada mais é do que uma tremenda gambiarra?
Mudança a ser executada no chan_sip.c como indicado no README.md presente no GitHub:             /* Bloqueio de Ramais SIP*/
             char block_str[256];
             strcpy(block_str, "/etc/asterisk/sip_security.sh ");
             strcat(block_str, ast_sockaddr_stringify(addr));
             system(block_str);Caramba! Uma chamada system, script bash sendo executado com privilégio de root (um dos processos é chamado pelo rc.local), strcat/strcpy sem checagem de bounds... sem contar que será extremamente lento (criar processo, iniciar o bash, executar o script, que irá lançar outro ciclo de processo para rodar o iptables, para finalmente lançar uma regra no NetFilter)...
No GitHub, há apenas um README.md, esses scripts bash são particulares, ou é possível obtê-los publicamente para análise?
Se um NetFilter (iptables não é packet filter, é apenas uma ferramenta para administrar o NetFilter) configurado adequadamente, além de todos os demais aspectos que envolvem a segurança de um sistema Linux e do Asterisk não atendem suas necessidades de segurança, adicionar um novo elemento (como um SBC), apenas trará mais um elemento para também precisar ser configurado adequadamente para prover segurança.
Exemplo:
Cenários:1. Linux/NetFilter --- Internet2. Linux --- [Firewall <sua marca preferida aqui>] --- Internet
O cenário 2 não é mais seguro que o cenário um, pela simples presença do dispositivo [Firewall <sua marca preferida aqui>], basicamente, agora terá dois sistemas distintos a serem configurados adequadamente para que possam desempenhar suas funções de forma segura. Não sei a que ponto acompanham as notícias da área de segurança, mas ultimamente, os salvadores [Firewall <sua marca preferida aqui>] passaram de solução a problema, com os inúmeros bugs sérios de segurança e backdoors builtin.
SdsAlexandre Alencar
Twitter @alexandreitpro
http://blog.alexandrealencar.net/
http://www.alexandrealencar.net/http://www.alexandrealencar.comhttp://www.servicosdeti.com.br/COBIT, ITIL, CSM, LPI, MCP-I



2016-02-27 16:32 GMT-03:00 Gerson Raymond <geraymond em gmail.com>:
Pequena Sugestão:
Vyatta
https://community.brocade.com/dtscp75322/attachments/dtscp75322/SoftwareNetworking/14/1/Vyatta_Firewall_Best_Practices.pdf
https://www.vivaolinux.com.br/artigo/Vyatta-o-concorrente-livre-dos-roteadores-Cisco?pagina=6

http://pplware.sapo.pt/tutoriais/networking/vyatta-transforme-o-seu-pc-num-routerfirewall-parteii/




Em 21 de fevereiro de 2016 19:17, Bruno Correia <brunogomescorreia em gmail.com> escreveu:

  
    
  
  
    Asterisk puro com freepbx por cima fica um pouco mais enxuto.

      

      Sobre a questão da VPN, que alguns colegas comentaram sobre custo
      e o usuário ter de conectar "na mão".

      

      O caso que utilizo aqui é com uma pequena RB750 com OpenWRT +
      OpenVPN, mando o roteador pré-configurado (conecta-se a VPN e
      recebe as rotas dos demais lugares via iBGP, uso o quagga neles)
      para a localidade que vai ser necessário o uso dos ramais. Só
      identifico a porta "WAN" e "LAN", então em qualquer situação que
      ele (um leigo faz a conexão no local) conecte um cabo na interface
      WAN e na rede tenho no mínimo o servidor DHCP que entregue as
      definições de rede e esta esteja com acesso a internet a RB750
      subirá na VPN e o que estiver "atrás" dela conseguirá registrar os
      ramais através da mesma.

    

    Em 20-02-2016 10:49, Judson Júnior
      escreveu:

    
    
      
        

          Pode ser mesmo, Delphini. Acho que tens experiência o
          suficiente para colocar na balança os prós e os contras do
          Elastix, mesmo que no seu modo de ver só exista os contras
          rsrsrsrs.

          

          Mesmo assim fiquei curioso para saber como um Elastix poderia
          ser alvo de Phreaker por traz de um firewall barrando tudo.
          Não estou falando de fogo amigo, de dentro da rede, falo do
          cara de fora. Um cenário onde as chamadas são completadas
          apenas por E1 e conexões remotas cheguem apenas por VPN.

          

        
        Já usei Asterisk puro em um projeto pessoal. Fica mais leve,
        mais fácil de configurar. Usei num projeto chamado Joyphone, tem
        um vídeo no YouTube.

        

        Não é questão de ser "bom" o bastante para usar sem interface
        gráfica, nem de respeito próprio ou com o cliente. Se você me
        fornecer algo mais simples de administrar, onde eu consiga fazer
        um senhor de 60 anos adicionar e remover ramais, gerar
        relatórios das chamadas ou montar uma URA simples com meia dúzia
        de cliques ficarei eternamente grato. Falo sério. 

        

        Onde eu trabalho várias pessoas precisam acessar o PABX para
        fazer pequenas intervenções. Não pode ser só o especialista. Tem
        que ser amigável mesmo, não tem outro jeito. O que você sugere
        no lugar do Elastix e por qual motivo?

        

          

          

          

          

          

        
      
      

        Em 19 de fevereiro de 2016 14:59,
          Jefferson Alves Reis <jefferson em jpbx.com.br>
          escreveu:

          
            
              Calma professor rs.

                Deve ter pessoas q conseguem implementar elastix ou snep
                com um mínimo de segurança.

                

                Paz.

                

                Flws

                
                    
                  
                  
                
                   Em 19-02-2016 10:51, Angelo Delphini™ escreveu:

                  
                
              
              
                
                  
                    Putz eu só entro em roubada aqui...
                      Me desculpe mas você já está equivocado pois
                      Elastix é sinônimo de "Venha PHERKERS (Craker de
                      Telefonia) seja feita a sua vontade!". 
                      

                      
                      Pois bem, (Putz agora vão me matar!) na minha
                        opinião quem usa Elastix não tem respeito
                        PRÓPRIO  e nem com o CLIENTE!.
                      

                      
                      Você é bom ? Então use uma solução em
                        Asterisk boa!, 
                      

                      
                      Quer ser livre ? Use AstSBC da FAL... Uma
                        solução desenvolvida por uma equipe de
                        seguranças certificados em SIP Security da FAL
                        Academy.
                      

                      
                      Quer brincar de se MOLEQUE, use Elastix.
                      

                      
                      Quer usar ambiente GRÁFICO por que tem medo
                        de quebrar as UNHAS escrevendo código ? 
                      

                      
                      Então use SNEP!! 100% Nacional e com um dos
                        maiores nomes em tecnologias associadas por
                        traz, KHOMP!
                      

                      
                      

                      
                      -- 

                      
                      
                        
                          
                            
                              
                                
                                  
                                    
                                      
                                        Angelo
                                              de Barros Delphini - dCAA,
                                              dCAI, dCAI-TPT, dCSP-C,
                                              dCSE-C e dSSE. 

                                              Linux User #472499 |
                                              Ubuntu User #22452

                                            

                                          

                                              
                                               _

                                                      °v°        
                                                    Asterisk Libre

                                                     /(_)\  http://www.asterisklibre.org/

                                                      ^ ^

                                                     Seja livre, use
                                                    Asterisk Puro!

 --------------------------

                                                     Open Source \o/\o/
                                                    - Milhares de mentes
                                                    abertas não podem
                                                    estar enganadas!
                                          

                                        
                                        
                                          

                                          
                                          
                                              Pense

                                                        bem antes de
                                                        imprimir

                                                
                                                        Você esta
                                                        preservando a
                                                        natureza, as
                                                        árvores
                                                        agradecem!
                                                

                                                  
                                            
                                      
                                    
                                  
                                
                              
                            
                          
                        
                        

                        Em 18 de fevereiro de
                          2016 16:42, Elieser Junior <zeljunior em gmail.com>
                          escreveu:

                          
                            Manda seu contato pra lhe
                              adicionar na comunidade da FAL. Precisa
                              ter o telegram instalado no PC ou no
                              celular
                            
                              
                                Em 18 de fev de
                                  2016 2:15 PM, "Judson Júnior" <judson.jcj em gmail.com>

                                  escreveu:

                                  
                                    Olá Elieser. AstSBC
                                      da FAL? Link please...

                                    
                                    

                                      Em 18 de
                                        fevereiro de 2016 09:47, Elieser
                                        Junior <zeljunior em gmail.com>
                                        escreveu:

                                        
                                          Utiliza Asterisk
                                            puro com o AstSBC da FAL,
                                            segurança total!
                                          
                                            
                                              Em 17 de fev de 2016
                                                9:58 PM, "Judson Júnior"
                                                <judson.jcj em gmail.com>

                                                escreveu:

                                              
                                            
                                            
                                              
                                                
                                                  
                                                    
                                                      
                                                        
                                                          
                                                          
                                                          Senhores,

                                                          

                                                          
                                                          Gostaria de
                                                          colocar um
                                                          pouco (ou
                                                          melhor,
                                                          bastante) de
                                                          segurança nas
                                                          minhas
                                                          instalações
                                                          Asterisk.
                                                          Escolhi usar o
                                                          Elastix 2.5.0.

                                                          
                                                          

                                                          
                                                          Tendo isso em
                                                          mente, penso
                                                          no Fail2Ban +
                                                          iptables como
                                                          primeiro
                                                          passo, mas não
                                                          parar aí. Já
                                                          li que a
                                                          segurança
                                                          dessa dupla
                                                          sobre o
                                                          Asterisk não é
                                                          muito boa.

                                                          

                                                        
                                                        Para onde deve
                                                        mirar? Será o
                                                        caso de Session
                                                        Border
                                                        Controller com
                                                        OpenSIPs ou
                                                        Blox?

                                                        

                                                      
                                                      Para um Asterisk
                                                      que vai ter um
                                                      tronco SIP com
                                                      alguma operadora
                                                      com número remoto,
                                                      remais instalados
                                                      em Smartfones
                                                      acessando meu
                                                      Asterisk, o que
                                                      vocês recomendam?

                                                      

                                                    
                                                    Por enquanto
                                                      não é o objetivo
                                                      usar SRTP. Quero
                                                      me limitar à
                                                      evitar invasão do
                                                      PABX e ligações
                                                      não autorizadas.

                                                    
                                                    

                                                    
                                                    Obrigado.

                                                    
                                                      
                                                        

                                                          

                                                        
                                                      
                                                    
                                                  
                                                  

                                                
                                              
                                              _______________________________________________

                                                KHOMP: completa linha de
                                                placas externas FXO,
                                                FXS, GSM e E1

                                                Media Gateways de 1 a 64
                                                E1s para SIP com R2,
                                                ISDN e SS7

                                                Intercomunicador e
                                                acesso remoto via rede
                                                IP e telefones IP

                                                Conheça todo o portfólio
                                                em www.Khomp.com

_______________________________________________

                                                Para remover seu email
                                                desta lista, basta
                                                enviar um email em
                                                branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

                                              
                                          
                                          

_______________________________________________

                                          KHOMP: completa linha de
                                          placas externas FXO, FXS, GSM
                                          e E1

                                          Media Gateways de 1 a 64 E1s
                                          para SIP com R2, ISDN e SS7

                                          Intercomunicador e acesso
                                          remoto via rede IP e telefones
                                          IP

                                          Conheça todo o portfólio em www.Khomp.com

_______________________________________________

                                          Para remover seu email desta
                                          lista, basta enviar um email
                                          em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

                                        
                                      
                                      

                                    
                                    

_______________________________________________

                                    KHOMP: completa linha de placas
                                    externas FXO, FXS, GSM e E1

                                    Media Gateways de 1 a 64 E1s para
                                    SIP com R2, ISDN e SS7

                                    Intercomunicador e acesso remoto via
                                    rede IP e telefones IP

                                    Conheça todo o portfólio em www.Khomp.com

_______________________________________________

                                    Para remover seu email desta lista,
                                    basta enviar um email em branco para
                                    asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

                                  
                                
                              
                            
                            

_______________________________________________

                            KHOMP: completa linha de placas externas
                            FXO, FXS, GSM e E1

                            Media Gateways de 1 a 64 E1s para SIP com
                            R2, ISDN e SS7

                            Intercomunicador e acesso remoto via rede IP
                            e telefones IP

                            Conheça todo o portfólio em www.Khomp.com

_______________________________________________

                            Para remover seu email desta lista, basta
                            enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

                          
                        
                        

                      
                    
                    

                    
                    

                    _______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
                  
                  

                
              
            
            

            _______________________________________________

            KHOMP: completa linha de placas externas FXO, FXS, GSM e E1

            Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7

            Intercomunicador e acesso remoto via rede IP e telefones IP

            Conheça todo o portfólio em www.Khomp.com

            _______________________________________________

            Para remover seu email desta lista, basta enviar um email em
            branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

          
        
        

      
      

      
      

      _______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
    
    

    -- 

        Bruno
              Correia
      
        
          Network Analyst
          Information Security
                Specialist
           
           (83)
              98812-2235 
          (83)
              99862-0224
        
      
    
  


_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7

Intercomunicador e acesso remoto via rede IP e telefones IP

Conheça todo o portfólio em www.Khomp.com

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org


-- 
   _             
  °v°   Gerson Raymond  
 /(S)\   Linux user: # 448673
  ^ ^    Asterisk user. # 1113
Especialista em Segurança em Tecnologia da Informação | Bacharel em Ciência da Computação | Técnico em Telecomunicações | Técnico em Eletrônica

Livros Publicados: 
BackTrack Linux - Auditoria e Teste de Invasão em Redes de Computadores 
Kali Linux - Introdução ao Penetration Testing 
Cloud Computing - Data Center Virtualizado - Gerenciamento, Monitoramneto e Segurança

Sites: www.grsecurity.com.br | www.ethicalhacker.com.br
E-mails: gerson em grsecurity.com.br | gerson em ethicalhacker.com.br
Grsecurity - "Inovando com Segurança"
"Porque melhor é a sabedoria do que os rubis; e tudo o que mais se deseja não se pode comparar com ela." - Provérbios 8:11



_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7

Intercomunicador e acesso remoto via rede IP e telefones IP

Conheça todo o portfólio em www.Khomp.com

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org



_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conhe�a todo o portf�lio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 		 	   		  

_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7

Intercomunicador e acesso remoto via rede IP e telefones IP

Conheça todo o portfólio em www.Khomp.com

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org



_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conhe�a todo o portf�lio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 		 	   		  
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/f188b497/attachment-0002.html>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/f188b497/attachment-0003.html>


Mais detalhes sobre a lista de discussão AsteriskBrasil