Fala Sylvio, beleza cara? Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban. É uma ferramente útil, mas ainda é necessário utilizar outras formas de segurança. Eu aposto sempre em utilizar senhas fortes e um firewall cuidadosamente configurado.
Configurações de manager, apache e banco de dados também são muitas vezes esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho notado no mercado, como no caso citado, com configurações padrões. Vale lembrar que toda segurança é importante. A ameaça pode não estar do lado externo da empresa. Usuários mal intencionados também devem ser levados em conta. Sem contar que se alguém conseguir acesso a outro servidor da empresa e por meio deste conseguir acesso a rede interna, também poderá fazer um estrago feio... Já me deparei com ataques ao Manager e SSH, mas da maneira que você descreveu nunca. Valeu por compartilhar sua experiência. At, Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck < sylvio.jollenb...@gmail.com> escreveu: > Pessoal, boa noite. > > Desejo apenas compartilhar um fato, hoje durante a tarde ativei um > Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de > serviço ativo o Asterisk começou a sofrer tentativas de autenticação. > > Bom, o que me chamou a atenção é que o "meu" destemido aspirante a > invasor usou diversas técnicas diferentes, sendo: > > 1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante > enviava uma tentativa de autenticação. A tentativa se baseada em enviar > extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o > mesmo padrão das extension, exemplo: Ramal 200 Senha 200.... Depois o > negócio mudou, o dicionário começou a ser usado. > > Ops! A partir desse momento comecei a pensar................ será mesmo > um aspirante ou um profissional cauteloso? Vamos continuar acompanhando! > > 2a. Conexões por múltiplos IP, depois de enviar suas tentativas de > autenticação por um determinado IP, notei que comecei a receber novas > tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas > continuei acompanhando, minha curiosidade em ver até onde o camarada era > persistente foi maior do que o meu senso critico em dropar. Afinal de > contas esse Asterisk ainda não esta ligado a nenhuma operadora de > telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina > incomunicável. > > 3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do > Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me > tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa > de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI). > > 4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager > começou a ser atacado, outros serviços agregados também começaram a ser > ameaçados, tais como: Apache, SSH e principalmente o MySQL. > > Bom, após 1 hora monitorando e observando posso concluir que o camarada > não era um aspirante e sim um profissional muito cauteloso. O que me leva a > crer nisso são os fatos: > > a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana > tranquilamente muitos fail2ban por ai. > b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que > dificulta em muito sua real localização. > c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por > ai...bingo, estrago feito. > d. O que mais me chamou a atenção foi o ataque ao MySQL. > > Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, > resolvi praticar também.... > Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois > de bater no 5 servidor, estava eu quase desistindo, quando veio em minha > cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de > acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o > quanto foi fácil autenticar. Claro que os meus princípios não me deixaram > sacanear o coitado, então enviei um e-mail para ele (empresa onde o > servidor esta hospedado) alertando sobre a vulnerabilidade do sistema. > > Diante de tudo isso, espero que essa experiência sirva para alertar a > todos o quão fragilizado estamos aos inúmeros tipos de ataque. > > Abs, > > -- > Sylvio Jollenbeck > www.hosannatecnologia.com.br > > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > -- Rodrigo Lang http://openingyourmind.wordpress.com/
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org