Re: [AsteriskBrasil] RES: RES: Ataque
Segue a minha configuracao /etc/fail2ban/jail.conf [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=car...@dominio.com.br, sender=p...@dominio.com.br] logpath = /var/log/asterisk/full maxretry = 3 bantime = 259200 # bantime de 259200s = 72h # sempre que vc rodar o seu firewall vc deve iniciar o fail2ban veja as entradas no firewall iptables -L -n |more Chain INPUT (policy DROP) target prot opt source destination fail2ban-ASTERISK 0 -- 0.0.0.0/0 0.0.0.0/0 ... ... Chain fail2ban-ASTERISK (1 references) target prot opt source destination RETURN 0 -- 0.0.0.0/0 0.0.0.0/0 Veja se o fail esta rodando ps -auwx |grep fail2ban Greco - Mensagem original - De: Wagner Souza wagners...@gmail.com Para: asteriskbrasil@listas.asteriskbrasil.org Enviadas: Terça-feira, 21 de Dezembro de 2010 23:39:50 (GMT-0300) Auto-Detected Assunto: Re: [AsteriskBrasil] RES: RES: Ataque Estes Fail2ban estão configurados errados. Estude o fail2ban, esta continua sendo a melhor opção de segurança. Em 14 de dezembro de 2010 04:22, Marcus Queiroz queiroz.mar...@gmail.com escreveu: troca a porta do registro e resolve o caso. Marcus A. Queiroz Em 13 de dezembro de 2010 08:22, Roberto Fonseca robertodafons...@terra.com.br escreveu: Dica facil e rapida, não requer prática, tampouco habilidade: Altera a porta do sip de 5060 para qualquer outro número alto, tipo 55060 99% dos ataques só se dirigem a 5060é muito cara, dispendioso de recursos ficar fazendo portscan... Roberto Fonseca De: asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto: asteriskbrasil-boun...@listas.asteriskbrasil.org ] Em nome de Eduardo Pereira Enviada em: sábado, 11 de dezembro de 2010 12:44 Para: asteriskbrasil@listas.asteriskbrasil.org Assunto: Re: [AsteriskBrasil] RES: Ataque Wagner o resultado das regras: -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT 0 0 udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: SET name: DEFAULT side: source 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 0 0 tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: SET name: DEFAULT side: source 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:5060 Observe que a ultima llinha libera a 5060, devo remover? Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu: Eduardo, Parece que esse arquivo está correto para o UDP. Para TCP está faltando algo. Testei os dois comandos abaixo na minha própria máquina para o serviço de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo. Se você pedir para o iptables listar as regras com um verbose (iptables -t filter -nvL) vc consegue ver se houve algum drop na regra e consequentemente se ela está funcionando. Utilizei: iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 1 -j DROP Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu: Wagner utilizando o arquivo do proprio centos seria assim? # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport -d x -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP #-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport
Re: [AsteriskBrasil] RES: RES: Ataque
Estes Fail2ban estão configurados errados. Estude o fail2ban, esta continua sendo a melhor opção de segurança. Em 14 de dezembro de 2010 04:22, Marcus Queiroz queiroz.mar...@gmail.comescreveu: troca a porta do registro e resolve o caso. Marcus A. Queiroz Em 13 de dezembro de 2010 08:22, Roberto Fonseca robertodafons...@terra.com.br escreveu: Dica facil e rapida, não requer prática, tampouco habilidade: Altera a porta do sip de 5060 para qualquer outro número alto, tipo 55060 99% dos ataques só se dirigem a 5060é muito cara, dispendioso de recursos ficar fazendo portscan... Roberto Fonseca *De:* asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto: asteriskbrasil-boun...@listas.asteriskbrasil.org] *Em nome de *Eduardo Pereira *Enviada em:* sábado, 11 de dezembro de 2010 12:44 *Para:* asteriskbrasil@listas.asteriskbrasil.org *Assunto:* Re: [AsteriskBrasil] RES: Ataque Wagner o resultado das regras: -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT 0 0 udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: SET name: DEFAULT side: source 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 0 0tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: SET name: DEFAULT side: source 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:5060 Observe que a ultima llinha libera a 5060, devo remover? Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu: Eduardo, Parece que esse arquivo está correto para o UDP. Para TCP está faltando algo. Testei os dois comandos abaixo na minha própria máquina para o serviço de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo. Se você pedir para o iptables listar as regras com um verbose (iptables -t filter -nvL) vc consegue ver se houve algum drop na regra e consequentemente se ela está funcionando. Utilizei: iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 1 -j DROP Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu: Wagner utilizando o arquivo do proprio centos seria assim? # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport -d x -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP #-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4569 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5036 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 1:2 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state
[AsteriskBrasil] RES: RES: Ataque
Dica facil e rapida, não requer prática, tampouco habilidade: Altera a porta do sip de 5060 para qualquer outro número alto, tipo 55060 99% dos ataques só se dirigem a 5060é muito cara, dispendioso de recursos ficar fazendo portscan... Roberto Fonseca De: asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto:asteriskbrasil-boun...@listas.asteriskbrasil.org] Em nome de Eduardo Pereira Enviada em: sábado, 11 de dezembro de 2010 12:44 Para: asteriskbrasil@listas.asteriskbrasil.org Assunto: Re: [AsteriskBrasil] RES: Ataque Wagner o resultado das regras: -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT 0 0 udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: SET name: DEFAULT side: source 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 0 0tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: SET name: DEFAULT side: source 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 0 0 ACCEPT udp -- * * 0.0.0.0/00.0.0.0/0 state NEW udp dpt:5060 Observe que a ultima llinha libera a 5060, devo remover? Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu: Eduardo, Parece que esse arquivo está correto para o UDP. Para TCP está faltando algo. Testei os dois comandos abaixo na minha própria máquina para o serviço de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo. Se você pedir para o iptables listar as regras com um verbose (iptables -t filter -nvL) vc consegue ver se houve algum drop na regra e consequentemente se ela está funcionando. Utilizei: iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 1 -j DROP Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu: Wagner utilizando o arquivo do proprio centos seria assim? # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport -d x -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP #-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4569 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5036 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 1:2 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT Att Eduardo Em 11-12-2010 10:34, Wagner Popov dos Santos escreveu: Eduardo, Segue um pequeno texto sobre previnir DoS utilizando o iptables. Você pode limitar o número de conexões de uma mesma fonte durante um determinado período. Você pode ainda proteger outros serviços... ps: não
Re: [AsteriskBrasil] RES: RES: Ataque
troca a porta do registro e resolve o caso. Marcus A. Queiroz Em 13 de dezembro de 2010 08:22, Roberto Fonseca robertodafons...@terra.com.br escreveu: Dica facil e rapida, não requer prática, tampouco habilidade: Altera a porta do sip de 5060 para qualquer outro número alto, tipo 55060 99% dos ataques só se dirigem a 5060é muito cara, dispendioso de recursos ficar fazendo portscan... Roberto Fonseca *De:* asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto: asteriskbrasil-boun...@listas.asteriskbrasil.org] *Em nome de *Eduardo Pereira *Enviada em:* sábado, 11 de dezembro de 2010 12:44 *Para:* asteriskbrasil@listas.asteriskbrasil.org *Assunto:* Re: [AsteriskBrasil] RES: Ataque Wagner o resultado das regras: -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT 0 0 udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: SET name: DEFAULT side: source 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 0 0tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: SET name: DEFAULT side: source 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 0 0 ACCEPT udp -- * * 0.0.0.0/00.0.0.0/0 state NEW udp dpt:5060 Observe que a ultima llinha libera a 5060, devo remover? Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu: Eduardo, Parece que esse arquivo está correto para o UDP. Para TCP está faltando algo. Testei os dois comandos abaixo na minha própria máquina para o serviço de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo. Se você pedir para o iptables listar as regras com um verbose (iptables -t filter -nvL) vc consegue ver se houve algum drop na regra e consequentemente se ela está funcionando. Utilizei: iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 1 -j DROP Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu: Wagner utilizando o arquivo do proprio centos seria assim? # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p xxx -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport -d x -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP #-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4569 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5036 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 1:2 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport x -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
