[AsteriskBrasil] Segurança no Asterisk
Hudson Cardoso
hudsoncardoso em hotmail.com
Sexta Abril 8 23:49:59 BRT 2016
Esse foi apenas uma parte do meu contexto, um pequeno exemplo de como fortificar a segurança
existem outras tratativas, que não estão aí, justamente pra não gerar flames.
Tente você mesmo chamar : 01132851521 em sip.vemligar.com
Entenderás melhor o que digo.
Não precisa de senha, nem de user.
Tive essa ideia vendo um dos artigos do Silvio Joelemberk
Hudson
(048) 8413-7000
Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
From: eduardo.boabaid em gmail.com
Date: Fri, 8 Apr 2016 16:56:25 -0300
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Segurança no Asterisk
Hudson,
Esse método é interessante.Só faltou falar pra habilitar o allowguest pra funcionar.
Só que não resolveria para tentativas de brute-force de senhas, confere?
Sent with MailTrack
Em 8 de abril de 2016 14:17, Hudson Cardoso <hudsoncardoso em hotmail.com> escreveu:
Realmente, chamar outros processos dentro do sistema não é muito bom, principalmente em alto tráfego.
Para diminuir os ataques, fiz isso dentro do contexto default do asterisk, resolveu quase 99%.
Deve ainda ter mais furos, que ainda vou descobrir, seu comentário foi mui proveitoso.
if(${EXTEN}>10000)
{answer;
noop(tentativa de invasao de : ${peerip}, discando ${EXTEN});
noop(desligando e colocando o invasor no iptables ip = ${CHANNEL(peerip)} );
system(sbin/iptables -I INPUT -s ${CHANNEL(peerip)} -j DROP);
hangup;
}
// caso ele acerte um numero de conta, mas com senha errada
answer;
playback(/etc/asterisk/sounds/invasao);}
hangup;
Hudson
(048) 8413-7000
Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
From: alexandre.alencar em gmail.com
Date: Thu, 7 Apr 2016 19:50:24 -0300
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Segurança no Asterisk
Pessoal,
É impressão minha ou este FAL astSBC que estão "endeusando" nada mais é do que uma tremenda gambiarra?
Mudança a ser executada no chan_sip.c como indicado no README.md presente no GitHub: /* Bloqueio de Ramais SIP*/
char block_str[256];
strcpy(block_str, "/etc/asterisk/sip_security.sh ");
strcat(block_str, ast_sockaddr_stringify(addr));
system(block_str);Caramba! Uma chamada system, script bash sendo executado com privilégio de root (um dos processos é chamado pelo rc.local), strcat/strcpy sem checagem de bounds... sem contar que será extremamente lento (criar processo, iniciar o bash, executar o script, que irá lançar outro ciclo de processo para rodar o iptables, para finalmente lançar uma regra no NetFilter)...
No GitHub, há apenas um README.md, esses scripts bash são particulares, ou é possível obtê-los publicamente para análise?
Se um NetFilter (iptables não é packet filter, é apenas uma ferramenta para administrar o NetFilter) configurado adequadamente, além de todos os demais aspectos que envolvem a segurança de um sistema Linux e do Asterisk não atendem suas necessidades de segurança, adicionar um novo elemento (como um SBC), apenas trará mais um elemento para também precisar ser configurado adequadamente para prover segurança.
Exemplo:
Cenários:1. Linux/NetFilter --- Internet2. Linux --- [Firewall <sua marca preferida aqui>] --- Internet
O cenário 2 não é mais seguro que o cenário um, pela simples presença do dispositivo [Firewall <sua marca preferida aqui>], basicamente, agora terá dois sistemas distintos a serem configurados adequadamente para que possam desempenhar suas funções de forma segura. Não sei a que ponto acompanham as notícias da área de segurança, mas ultimamente, os salvadores [Firewall <sua marca preferida aqui>] passaram de solução a problema, com os inúmeros bugs sérios de segurança e backdoors builtin.
SdsAlexandre Alencar
Twitter @alexandreitpro
http://blog.alexandrealencar.net/
http://www.alexandrealencar.net/http://www.alexandrealencar.comhttp://www.servicosdeti.com.br/COBIT, ITIL, CSM, LPI, MCP-I
2016-02-27 16:32 GMT-03:00 Gerson Raymond <geraymond em gmail.com>:
Pequena Sugestão:
Vyatta
https://community.brocade.com/dtscp75322/attachments/dtscp75322/SoftwareNetworking/14/1/Vyatta_Firewall_Best_Practices.pdf
https://www.vivaolinux.com.br/artigo/Vyatta-o-concorrente-livre-dos-roteadores-Cisco?pagina=6
http://pplware.sapo.pt/tutoriais/networking/vyatta-transforme-o-seu-pc-num-routerfirewall-parteii/
Em 21 de fevereiro de 2016 19:17, Bruno Correia <brunogomescorreia em gmail.com> escreveu:
Asterisk puro com freepbx por cima fica um pouco mais enxuto.
Sobre a questão da VPN, que alguns colegas comentaram sobre custo
e o usuário ter de conectar "na mão".
O caso que utilizo aqui é com uma pequena RB750 com OpenWRT +
OpenVPN, mando o roteador pré-configurado (conecta-se a VPN e
recebe as rotas dos demais lugares via iBGP, uso o quagga neles)
para a localidade que vai ser necessário o uso dos ramais. Só
identifico a porta "WAN" e "LAN", então em qualquer situação que
ele (um leigo faz a conexão no local) conecte um cabo na interface
WAN e na rede tenho no mínimo o servidor DHCP que entregue as
definições de rede e esta esteja com acesso a internet a RB750
subirá na VPN e o que estiver "atrás" dela conseguirá registrar os
ramais através da mesma.
Em 20-02-2016 10:49, Judson Júnior
escreveu:
Pode ser mesmo, Delphini. Acho que tens experiência o
suficiente para colocar na balança os prós e os contras do
Elastix, mesmo que no seu modo de ver só exista os contras
rsrsrsrs.
Mesmo assim fiquei curioso para saber como um Elastix poderia
ser alvo de Phreaker por traz de um firewall barrando tudo.
Não estou falando de fogo amigo, de dentro da rede, falo do
cara de fora. Um cenário onde as chamadas são completadas
apenas por E1 e conexões remotas cheguem apenas por VPN.
Já usei Asterisk puro em um projeto pessoal. Fica mais leve,
mais fácil de configurar. Usei num projeto chamado Joyphone, tem
um vídeo no YouTube.
Não é questão de ser "bom" o bastante para usar sem interface
gráfica, nem de respeito próprio ou com o cliente. Se você me
fornecer algo mais simples de administrar, onde eu consiga fazer
um senhor de 60 anos adicionar e remover ramais, gerar
relatórios das chamadas ou montar uma URA simples com meia dúzia
de cliques ficarei eternamente grato. Falo sério.
Onde eu trabalho várias pessoas precisam acessar o PABX para
fazer pequenas intervenções. Não pode ser só o especialista. Tem
que ser amigável mesmo, não tem outro jeito. O que você sugere
no lugar do Elastix e por qual motivo?
Em 19 de fevereiro de 2016 14:59,
Jefferson Alves Reis <jefferson em jpbx.com.br>
escreveu:
Calma professor rs.
Deve ter pessoas q conseguem implementar elastix ou snep
com um mínimo de segurança.
Paz.
Flws
Em 19-02-2016 10:51, Angelo Delphini™ escreveu:
Putz eu só entro em roubada aqui...
Me desculpe mas você já está equivocado pois
Elastix é sinônimo de "Venha PHERKERS (Craker de
Telefonia) seja feita a sua vontade!".
Pois bem, (Putz agora vão me matar!) na minha
opinião quem usa Elastix não tem respeito
PRÓPRIO e nem com o CLIENTE!.
Você é bom ? Então use uma solução em
Asterisk boa!,
Quer ser livre ? Use AstSBC da FAL... Uma
solução desenvolvida por uma equipe de
seguranças certificados em SIP Security da FAL
Academy.
Quer brincar de se MOLEQUE, use Elastix.
Quer usar ambiente GRÁFICO por que tem medo
de quebrar as UNHAS escrevendo código ?
Então use SNEP!! 100% Nacional e com um dos
maiores nomes em tecnologias associadas por
traz, KHOMP!
--
Angelo
de Barros Delphini - dCAA,
dCAI, dCAI-TPT, dCSP-C,
dCSE-C e dSSE.
Linux User #472499 |
Ubuntu User #22452
_
°v°
Asterisk Libre
/(_)\ http://www.asterisklibre.org/
^ ^
Seja livre, use
Asterisk Puro!
--------------------------
Open Source \o/\o/
- Milhares de mentes
abertas não podem
estar enganadas!
Pense
bem antes de
imprimir
Você esta
preservando a
natureza, as
árvores
agradecem!
Em 18 de fevereiro de
2016 16:42, Elieser Junior <zeljunior em gmail.com>
escreveu:
Manda seu contato pra lhe
adicionar na comunidade da FAL. Precisa
ter o telegram instalado no PC ou no
celular
Em 18 de fev de
2016 2:15 PM, "Judson Júnior" <judson.jcj em gmail.com>
escreveu:
Olá Elieser. AstSBC
da FAL? Link please...
Em 18 de
fevereiro de 2016 09:47, Elieser
Junior <zeljunior em gmail.com>
escreveu:
Utiliza Asterisk
puro com o AstSBC da FAL,
segurança total!
Em 17 de fev de 2016
9:58 PM, "Judson Júnior"
<judson.jcj em gmail.com>
escreveu:
Senhores,
Gostaria de
colocar um
pouco (ou
melhor,
bastante) de
segurança nas
minhas
instalações
Asterisk.
Escolhi usar o
Elastix 2.5.0.
Tendo isso em
mente, penso
no Fail2Ban +
iptables como
primeiro
passo, mas não
parar aí. Já
li que a
segurança
dessa dupla
sobre o
Asterisk não é
muito boa.
Para onde deve
mirar? Será o
caso de Session
Border
Controller com
OpenSIPs ou
Blox?
Para um Asterisk
que vai ter um
tronco SIP com
alguma operadora
com número remoto,
remais instalados
em Smartfones
acessando meu
Asterisk, o que
vocês recomendam?
Por enquanto
não é o objetivo
usar SRTP. Quero
me limitar à
evitar invasão do
PABX e ligações
não autorizadas.
Obrigado.
_______________________________________________
KHOMP: completa linha de
placas externas FXO,
FXS, GSM e E1
Media Gateways de 1 a 64
E1s para SIP com R2,
ISDN e SS7
Intercomunicador e
acesso remoto via rede
IP e telefones IP
Conheça todo o portfólio
em www.Khomp.com
_______________________________________________
Para remover seu email
desta lista, basta
enviar um email em
branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de
placas externas FXO, FXS, GSM
e E1
Media Gateways de 1 a 64 E1s
para SIP com R2, ISDN e SS7
Intercomunicador e acesso
remoto via rede IP e telefones
IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta
lista, basta enviar um email
em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas
externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para
SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via
rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista,
basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas
FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com
R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP
e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta
enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em
branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
--
Bruno
Correia
Network Analyst
Information Security
Specialist
(83)
98812-2235
(83)
99862-0224
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
--
_
°v° Gerson Raymond
/(S)\ Linux user: # 448673
^ ^ Asterisk user. # 1113
Especialista em Segurança em Tecnologia da Informação | Bacharel em Ciência da Computação | Técnico em Telecomunicações | Técnico em Eletrônica
Livros Publicados:
BackTrack Linux - Auditoria e Teste de Invasão em Redes de Computadores
Kali Linux - Introdução ao Penetration Testing
Cloud Computing - Data Center Virtualizado - Gerenciamento, Monitoramneto e Segurança
Sites: www.grsecurity.com.br | www.ethicalhacker.com.br
E-mails: gerson em grsecurity.com.br | gerson em ethicalhacker.com.br
Grsecurity - "Inovando com Segurança"
"Porque melhor é a sabedoria do que os rubis; e tudo o que mais se deseja não se pode comparar com ela." - Provérbios 8:11
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conhe�a todo o portf�lio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicador e acesso remoto via rede IP e telefones IP
Conhe�a todo o portf�lio em www.Khomp.com
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/f188b497/attachment-0002.html>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20160409/f188b497/attachment-0003.html>
Mais detalhes sobre a lista de discussão AsteriskBrasil