Re: Ataque SIP
Sisco Ds
la IP y localicé la dirección de abuse del proveedor (un ISP alemán).
Así que le envié un correo con un volcado del tcpdump y tal. Eso fué
sobre las 16:30h.
A las 23:45 el ataque cesó, según el log y esta mañana a las 9:30h más
o menos, he recibido un correo del ISP diciéndome que lo tenían en
cuenta y que estaban investigándolo.
Así que no se si realmente es que el ataque paró por sí solo o el ISP
lo paró. Pero el caso es que ya no me están atacando.
La próxima vez que detecte un ataque volveré a notificar e iré
observando igual resulta que hasta sirve de algo lo de notificar los
ataques.
Saludos y gracias a todos.
On 14 feb, 14:34, Adolfo Nidegger <anideg...@gmail.com> wrote:
> Aparte de lo que dice aqui el compañero , otros de talles son el mantener
> acrualizado el firmware de los telefonos ip, ya que muchas veces los
> primeros firmwares tienen grandes problemas de seguridad (Yaelink y Ploycom
> comprobados por mi ), ademas d que a la hora de registrar con un asterisk
> hacerlo con contraseñas seguras, no con un (user 600 pass 600),. Con eso
> mas el allowguest = no en asterisk seteado , pordriamos tener una
> plataforma mas segura, un saludo.
>
> El 14 de febrero de 2012 10:07, Ronin ARG <pablojmira...@gmail.com>escribió:
>
>
>
>
>
>
>
> > A nivel seguridad ya nos dimos cuenta que ademas de aplicar todas las
> > barreras conocidas de iptables, fail2ban, etc. Es muy importante el
> > perfil de trafico de los clientes, es muy raro que tengas todos
> > clientes con diferentes perfiles. Por lo que podes ir adicionando
> > segun grupos de codigos de paises. etc
>
> > Por ejemplo mis clientes no van a llamar a Sierra Leona, etc. Entonces
> > bloqueo el destino. En caso de requerirlo se liberan esas rutas con 1
> > o 2 canales maximos. etc.
>
> > En fin a lo que iba es que son medidas tan importantes como
> > configurar el iptables. Por eso me cuesta entender que a veces se
> > recomiende otra distro porque "asterisk es insegura" , la mayor
> > responsabilidad es quien lo configura, por lo que si no sabes
> > configurar Freeswitch tambien te van romper la seguridad, que habra
> > menos gente que sabra hacerlo tambien es cierto, porque hay menos
> > gente que lo utiliza a comparacion de asterisk. No hablo de que no sea
> > robusto, etc.
>
> > Para entender esto, uno se tiene que sacar de la cabeza esos temas, si
> > debian o centOS, asterisk o freeswitch, asterisk puro o elastix. Hay
> > sistemas mas vulnerables que otros, es cierto, pero depende de como se
> > configura, son los resultados obtenidos. (casos excepcionales son los
> > bugs).
>
> > No importa sistema operativo, distribucion o tecnologia que utilices,
> > si lo que tienes dentro es valioso y mas si se puede hacer dinero como
> > la telefonia, lo van a querer romper, entrar y robar.
>
> > Saludos.
>
> > On Feb 14, 8:56 am, Raúl Alexis Betancor Santana <r...@dimension-
> > virtual.com> wrote:
> > > On Tue, Feb 14, 2012 at 11:42:07AM +0100, Germ n Aracil Boned wrote:
>
> > > > Lo de limitar el consumo es super importante.
> > > > S de casos donde han robado decenas de miles de euros. Y es algo
> > > > f cilmente evitable, con un limite mensual de consumo por ejemplo.
>
> > > Yep, pero limitar al consumo 'del mes', solo sirve para que si le
> > > jeringan la cuenta el d a 1 ... lo bloquees para el resto del mes.
>
> > > Nosotros estamos trabajando en una soluci n un poco m s 'din mica',
> > > perfiles de consumo. Si un cliente tiene un perfil de llamadas con un
> > > pico de 4 simult neas en horas punta, y sus horas punta son de 8 a 12,
> > > con un perfil de llamada nacional ... que sentido tienen autorizarle
> > > llamadas a Blangladesh, a las 3 de la ma ana, desde una IP no
> > > 'habitual' e intentando establecer 50 llamadas simult neas? ... ;)
>
> > > Saludos
>
> > --
> > Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org
> > )
>
> > ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> >http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asteris...
> > ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> > - Para anular la suscripción: asterisk-es...@googlegroups.com
Adolfo Nidegger
Raúl Alexis Betancor Santana
> Ayer detect� otro ataque (o el mismo desde otra IP) hice un whois de
> la IP y localic� la direcci�n de abuse del proveedor (un ISP alem�n).
> As� que le envi� un correo con un volcado del tcpdump y tal. Eso fu�
> sobre las 16:30h.
>
> A las 23:45 el ataque ces�, seg�n el log y esta ma�ana a las 9:30h m�s
> o menos, he recibido un correo del ISP dici�ndome que lo ten�an en
> cuenta y que estaban investig�ndolo.
>
> As� que no se si realmente es que el ataque par� por s� solo o el ISP
> lo par�. Pero el caso es que ya no me est�n atacando.
Como ya coment�, la mayor�a se portan bien, entre otros motivos porque
no les interesa tener servidores 'zombies' o clientes que se dediquen
a hacer el cabra, ya que va en detrimento de su imagen, am�n de que
cortar este tipo de ataques de raiz les puede suponer ahorrarse mucha
pasta en tr�fico de interconexiones.
Tengo contabilizado en lo que llebamos de mes de Febrero, 12Tb de
tr�fico en intento de ataques, bloqueados en los firewall
perimetrales.
Saludos
Angel Elena
-----Mensaje original-----
De: Raúl Alexis Betancor Santana <ra...@dimension-virtual.com>
Enviado: Jue 16-02-2012 15:25
Asunto: Re: [Asterisk-ES] Re: Ataque SIP
Para: aster...@googlegroups.com;
> On Thu, Feb 16, 2012 at 05:06:04AM -0800, Sisco Ds wrote:
> > Ayer detecté otro ataque (o el mismo desde otra IP) hice un whois de
> > la IP y localicé la dirección de abuse del proveedor (un ISP alemán).
> > Así que le envié un correo con un volcado del tcpdump y tal. Eso fué
> > sobre las 16:30h.
> >
> > A las 23:45 el ataque cesó, según el log y esta mañana a las 9:30h más
> > o menos, he recibido un correo del ISP diciéndome que lo tenían en
> > cuenta y que estaban investigándolo.
> >
> > Así que no se si realmente es que el ataque paró por sí solo o el ISP
> > lo paró. Pero el caso es que ya no me están atacando.
>
> Como ya comenté, la mayoría se portan bien, entre otros motivos porque
> no les interesa tener servidores 'zombies' o clientes que se dediquen
> a hacer el cabra, ya que va en detrimento de su imagen, amén de que
> cortar este tipo de ataques de raiz les puede suponer ahorrarse mucha
> pasta en tráfico de interconexiones.
>
> Tengo contabilizado en lo que llebamos de mes de Febrero, 12Tb de
> tráfico en intento de ataques, bloqueados en los firewall
> perimetrales.
>
> Saludos
>
Raúl Alexis Betancor Santana
> 12 Tb ??????? o_O
Tampoco es mucho ... el famoso friendly-scanner de las narices, en
modo agresivo, te puede estar zumbando hasta 1Mb/s de peticiones, y
eso son mucho megas al cabo de 8-10 horas de intentos de penetraci�n.
Saludos
Sisco Ds
Tb!!
On 16 feb, 18:20, Raúl Alexis Betancor Santana <r...@dimension-
Raúl Alexis Betancor Santana
> Espero que no te cobren ese tr�fico,. porque si no!! que pasada!! 12
> Tb!!
No trabajamso con puertos burstable, sino con fixed-commidment, es m�s
caro por mega, pero no tienes problemas por exceso de volumen .. :)
Saludos
Sisco Ds
Tengo en Internet un servicio SIP abierto con Kamailio + Asterisk,
para que mis clientes se registren y tengan lineas.
El caso es que lo tengo todo bien cerradito. En el firewall sólo dejo
entrar el SIP con claves seguras( 12 caracteres números y letras no
basadas en diccionario) y protegido con el módulo pike del kamailio
(para evitar antiflood) y con el fail2ban para restringir por iptables
el acceso a la máquina desde las IPs que originan el ataque.
El caso es que, de momento, no han podido rebentar la seguridad del
sistema, pero me saca de quicio ver que tengo varias IPs intentando
cada cierto tiempo registrarse o hacer INVITE sobre el sistema.
Varias preguntas sobre el tema:
¿Hay algo más para proteger el sistema?
¿Puedo hacer alguna cosa más respecto a las IPs que me están
intentando hackear? ¿Se puede reportar un aviso para que alguna
autoridad bloquee esas IPs? ¿Le mando yo un ataque de DDOS a ver si se
le quitan las ganas de ir molestando?
Había pensado en crear una especie de blacklist de forma que esas IPs
estuviesen baneadas permanentemente. Pero claro, de la legibilidad del
firewall me olvido.
¿Alguna experiencia con el tema?
Saludos.
Raúl Alexis Betancor Santana
> Buenas
>
> Tengo en Internet un servicio SIP abierto con Kamailio + Asterisk,
> para que mis clientes se registren y tengan lineas.
> entrar el SIP con claves seguras( 12 caracteres n�meros y letras no
> basadas en diccionario) y protegido con el m�dulo pike del kamailio
> (para evitar antiflood) y con el fail2ban para restringir por iptables
>
> El caso es que, de momento, no han podido rebentar la seguridad del
> sistema, pero me saca de quicio ver que tengo varias IPs intentando
> cada cierto tiempo registrarse o hacer INVITE sobre el sistema.
>
> Varias preguntas sobre el tema:
> �Puedo hacer alguna cosa m�s respecto a las IPs que me est�n
> intentando hackear? �Se puede reportar un aviso para que alguna
> autoridad bloquee esas IPs? �Le mando yo un ataque de DDOS a ver si se
> le quitan las ganas de ir molestando?
>
> estuviesen baneadas permanentemente. Pero claro, de la legibilidad del
> firewall me olvido.
>
> �Alguna experiencia con el tema?
Llevo todo el fin de semana aguantando a un imb�cil desde un servicio
de hosting de Holanda, dando por saco a la plataforma SIP que tenemos
montada, est� filtrado en los FW's perimetrales de forma autom�tica
con el fail2ban.
Y notificado tambi�n de forma autom�tica a la direcci�n abuse que
aparece en el whois de la ip.
Ahora falta que los admins del hosting sean suficientemente 'legales',
para cerrar el servidor, que est� generando 14Millones de paquetes y
cerca de 5Gb de tr�fico, en intentos de atacar nuestra plataforma,
cada 8 horas ...
Lo peor de todo es el ancho de banda perdido, toca bastante los
cojones.
Como resumen y consejo:
whois <IP>
busca la direcci�n de abuse o de spam ... y env�a un mail, si al par
de d�as siguen dando por culo, denuncia en la BDI de los MIG, para que
intentes ser un poco m�s 'serios' con el hosting de turno.
Saludos
oxido A
De lo poco que eh aprendido... Si es que eh aprendido algo es que en internet no hay reglas ... Ni abuse ni nada... Amenos que seas un gordido que le tocas la pelotas al fbi o la cia.
Por hay escuche firrewall dinamico ?
On Mon, Feb 13, 2012 at 09:14:52AM -0800, Sisco Ds wrote:
> Buenas
>
> Tengo en Internet un servicio SIP abierto con Kamailio + Asterisk,
> para que mis clientes se registren y tengan lineas.
> El caso es que lo tengo todo bien cerradito. En el firewall sólo dejo
> entrar el SIP con claves seguras( 12 caracteres números y letras no
> basadas en diccionario) y protegido con el módulo pike del kamailio
> (para evitar antiflood) y con el fail2ban para restringir por iptables
> el acceso a la máquina desde las IPs que originan el ataque.
>
> El caso es que, de momento, no han podido rebentar la seguridad del
> sistema, pero me saca de quicio ver que tengo varias IPs intentando
> cada cierto tiempo registrarse o hacer INVITE sobre el sistema.
>
> Varias preguntas sobre el tema:
> ¿Hay algo más para proteger el sistema?
> ¿Puedo hacer alguna cosa más respecto a las IPs que me están
> intentando hackear? ¿Se puede reportar un aviso para que alguna
> autoridad bloquee esas IPs? ¿Le mando yo un ataque de DDOS a ver si se
> le quitan las ganas de ir molestando?
>
> Había pensado en crear una especie de blacklist de forma que esas IPs
> estuviesen baneadas permanentemente. Pero claro, de la legibilidad del
> firewall me olvido.
>
> ¿Alguna experiencia con el tema?
Llevo todo el fin de semana aguantando a un imbécil desde un servicio
de hosting de Holanda, dando por saco a la plataforma SIP que tenemos
montada, está filtrado en los FW's perimetrales de forma automática
con el fail2ban.
Y notificado también de forma automática a la dirección abuse que
aparece en el whois de la ip.
Ahora falta que los admins del hosting sean suficientemente 'legales',
para cerrar el servidor, que está generando 14Millones de paquetes y
cerca de 5Gb de tráfico, en intentos de atacar nuestra plataforma,
cada 8 horas ...
Lo peor de todo es el ancho de banda perdido, toca bastante los
cojones.
Como resumen y consejo:
whois <IP>
busca la dirección de abuse o de spam ... y envía un mail, si al par
de días siguen dando por culo, denuncia en la BDI de los MIG, para que
intentes ser un poco más 'serios' con el hosting de turno.
Saludos
Sir Brain Colward
Por lo que veo te va bien con ese sistema. Yo acabo de montarlo y por ahora salvo un par de escaneos leves no veo que haya pasado nada. Estoy esperando a ver cómo se comporta el sistema cuando me pase lo mismo...
Y es bueno saber qué acciones legales puedes llevar a cabo por si ocurre algo de esto.
Saludos,
Sir Brain Colward
On Mon, Feb 13, 2012 at 09:14:52AM -0800, Sisco Ds wrote:
> Buenas
>
> Tengo en Internet un servicio SIP abierto con Kamailio + Asterisk,
> para que mis clientes se registren y tengan lineas.
> El caso es que lo tengo todo bien cerradito. En el firewall sólo dejo
> entrar el SIP con claves seguras( 12 caracteres números y letras no
> basadas en diccionario) y protegido con el módulo pike del kamailio
> (para evitar antiflood) y con el fail2ban para restringir por iptables
> el acceso a la máquina desde las IPs que originan el ataque.
>
> El caso es que, de momento, no han podido rebentar la seguridad del
> sistema, pero me saca de quicio ver que tengo varias IPs intentando
> cada cierto tiempo registrarse o hacer INVITE sobre el sistema.
>
> Varias preguntas sobre el tema:
> ¿Hay algo más para proteger el sistema?
> ¿Puedo hacer alguna cosa más respecto a las IPs que me están
> intentando hackear? ¿Se puede reportar un aviso para que alguna
> autoridad bloquee esas IPs? ¿Le mando yo un ataque de DDOS a ver si se
> le quitan las ganas de ir molestando?
>
> Había pensado en crear una especie de blacklist de forma que esas IPs
> estuviesen baneadas permanentemente. Pero claro, de la legibilidad del
> firewall me olvido.
>
> ¿Alguna experiencia con el tema?
Llevo todo el fin de semana aguantando a un imbécil desde un servicio
de hosting de Holanda, dando por saco a la plataforma SIP que tenemos
montada, está filtrado en los FW's perimetrales de forma automática
con el fail2ban.
Y notificado también de forma automática a la dirección abuse que
aparece en el whois de la ip.
Ahora falta que los admins del hosting sean suficientemente 'legales',
para cerrar el servidor, que está generando 14Millones de paquetes y
cerca de 5Gb de tráfico, en intentos de atacar nuestra plataforma,
cada 8 horas ...
Lo peor de todo es el ancho de banda perdido, toca bastante los
cojones.
Como resumen y consejo:
whois <IP>
busca la dirección de abuse o de spam ... y envía un mail, si al par
de días siguen dando por culo, denuncia en la BDI de los MIG, para que
intentes ser un poco más 'serios' con el hosting de turno.
Saludos
german aracil
Raúl Alexis Betancor Santana
> Mira este parche que hice precisamente para tener una lista negra en
> asterisk. Se limita a descartar el paquete que viene:
>
> http://www.asterisk-es-rsp.org/doku.php/patch:asterisk:tecnoxarxa-sipblacklist.patch
Ah!!! ... la gran ventaja de no usar Asterisk para absolutamente NADA
en la plataforma ... es no tener que andar con parches ;)
Saludos
Raúl Alexis Betancor Santana
> De lo poco que eh aprendido... Si es que eh aprendido algo es que en
> internet no hay reglas ... Ni abuse ni nada... Amenos que seas un gordido
> que le tocas la pelotas al fbi o la cia.
Pues los ISP's suelen ser serios con lo que mandas a las direcciones
abuse@<isp>, mas que nada, porque como no hagan caso, les meto un puro
en el IR regional de turno, que ver�s tu que r�pido se les quitan las
bober�as de la cabeza.
Telef�nica es la �nica que no hace ni puto caso, como uso y costumbre,
cuando mandas un mail al abuse, te suele cantar un "OverQuota" ... XDD
> Por hay escuche firrewall dinamico ?
Yepo, m�s bien es un chain del firewall, donde acaban todas las IP que
el pike cante como "banned", uso los m�dulos que kamailio ofrece para
este tipo de control, y cuando kamailio 'banea' una IP, watchlog la
mete en el FW, para que no siga llegando tr�fico a los SBC
innecesariamente.
Saludos
Angel Elena
-----Mensaje original-----
De: Ra??l Alexis Betancor Santana <ra...@dimension-virtual.com>
Enviado: Lun 13-02-2012 22:06
Asunto: Re: [Asterisk-ES] Ataque SIP
Para: aster...@googlegroups.com;
> On Mon, Feb 13, 2012 at 01:27:33PM -0600, oxido A wrote:
> > De lo poco que eh aprendido... Si es que eh aprendido algo es que en
> > internet no hay reglas ... Ni abuse ni nada... Amenos que seas un gordido
> > que le tocas la pelotas al fbi o la cia.
>
> Pues los ISP's suelen ser serios con lo que mandas a las direcciones
> abuse@<isp>, mas que nada, porque como no hagan caso, les meto un puro
> en el IR regional de turno, que ver?s tu que r?pido se les quitan las
> bober?as de la cabeza.
>
> Telef?nica es la ?nica que no hace ni puto caso, como uso y costumbre,
> cuando mandas un mail al abuse, te suele cantar un "OverQuota" ... XDD
>
> > Por hay escuche firrewall dinamico ?
>
> Yepo, m?s bien es un chain del firewall, donde acaban todas las IP que
> el pike cante como "banned", uso los m?dulos que kamailio ofrece para
> este tipo de control, y cuando kamailio 'banea' una IP, watchlog la
> mete en el FW, para que no siga llegando tr?fico a los SBC
> innecesariamente.
>
> Saludos
>
> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>
> ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripci?n: asterisk-es...@googlegroups.com
>
german aracil
Angel Elena
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En nombre de german aracil
Enviado el: lunes, 13 de febrero de 2012 23:08
Para: aster...@googlegroups.com
Asunto: Re: [Asterisk-ES] Ataque SIP
Raúl Alexis Betancor Santana
> Si hablas de "plataformas" y no usar asterisk como una PBX en una oficina,
> creo que es mejor que mires freeswitch.
No Asterisk, No FreeSwitch, No YaTE, just plain SIP proxy with
dedicated SIPApp servers, para la parte que requiera de tratamiento de
Media en plataforma, buzones, vPBX, ACD, etc.
Saludos
Sisco Ds
Probaré a enviar algún correo a abuse@xxxxx la verdad es que me
extrañaría que realmente funcionara, pero prometo probar y albergar un
poco de fé. Pero me jode que si te hacen un ddos sólo puedas enviar un
correíto y confiar que el ISP sea una compañía "seria", pero bueno, es
lo que hay. Esperemos que no nos haga falta, jejejejej!!
En cuanto a las soluciones de seguridad, veo que todos más o menos
usamos los mismos sistemas. Así que al menos me quedo un poco más
tranquilo.
En cuanto al patch de la blacklist, gracias por él, pero como comenté
gracias al pike del Kamailio filtro ese tráfico antes de llegar al
Asterisk, además el registro se hace contra el Kamailio. Pero gracias
de todas formas.
Os dejo un enlace de la misma lista donde pone otros tips de
seguridad:
http://groups.google.com/group/asterisk-es/browse_thread/thread/de8e2a73f555cdcb/63665ae18a9d51c7
Saludos a todos!!
On 13 feb, 23:22, Raúl Alexis Betancor Santana <r...@dimension-
Saúl Ibarra Corretgé
2012/2/14 Sisco Ds <francisco....@gmail.com>:
> Gracias a todos por las respuestas.
>
> Probaré a enviar algún correo a abuse@xxxxx la verdad es que me
> extrañaría que realmente funcionara, pero prometo probar y albergar un
> poco de fé. Pero me jode que si te hacen un ddos sólo puedas enviar un
> correíto y confiar que el ISP sea una compañía "seria", pero bueno, es
> lo que hay. Esperemos que no nos haga falta, jejejejej!!
>
>
> En cuanto a las soluciones de seguridad, veo que todos más o menos
> usamos los mismos sistemas. Así que al menos me quedo un poco más
> tranquilo.
>
Mira a ver si encuentras unas transparencias de Flavio Gonçalves del
ClueCon o 4Kconf, en las que habla de seguridad y sobre todo
mitigación de daños.
Hay que asumir que alguien que no queremos puede conseguir acceso a
una cuenta SIP porque el usuario es tonto y la tenía en un postit o
saber. Entonces lo importante es mitigar el posible daño:
- Limitar el número de llamadas simultáneas
- Cuotas de uso (por día, por mes, ...)
- GeoIP (si todos nuestros clientes son de España y alguien se
registra desde Egipto algo huele raro...)
- ...
Saludos,
--
/Saúl
http://saghul.net | http://sipdoc.net
Germán Aracil Boned
Me gusta la propuesta.
El 13/02/12 23:22, Raᅵl Alexis Betancor Santana escribiᅵ:
--
------------------------
|Germï¿œn L. Aracil Boned|
|Director de Sistemas |
|y Operaciones |
|Tucall S.L. |
------------------------
AVISO LEGAL
La presente comunicaciᅵn y sus anexos tiene como destinatario la persona a la que va dirigida, por lo que si usted lo recibe por error debe notificarlo al remitente y eliminarlo de su sistema, no pudiendo utilizarlo, total o parcialmente, para ningᅵn fin. Su contenido puede tener informaciᅵn confidencial o protegida legalmente y ᅵnicamente expresa la opiniᅵn del remitente. El uso del correo electrᅵnico vᅵa internet no permite asegurar ni la confidencialidad de los mensajes ni su correcta recepciᅵn. En el caso de que el destinatario no consintiera la utilizaciᅵn del correo electrᅵnico, deberᅵ ponerlo en nuestro conocimiento inmediatamente.
Germán Aracil Boned
Lo de limitar el consumo es super importante.
fï¿œcilmente evitable, con un limite mensual de consumo por ejemplo.
El 14/02/12 10:22, Saᅵl Ibarra Corretgᅵ escribiᅵ:
> Buenas,
>
> 2012/2/14 Sisco Ds<francisco....@gmail.com>:
>> Gracias a todos por las respuestas.
>>
>> Probarᅵ a enviar algᅵn correo a abuse@xxxxx la verdad es que me
>> extraï¿œarï¿œa que realmente funcionara, pero prometo probar y albergar un
>> poco de fᅵ. Pero me jode que si te hacen un ddos sᅵlo puedas enviar un
>> correᅵto y confiar que el ISP sea una compaᅵᅵa "seria", pero bueno, es
>> lo que hay. Esperemos que no nos haga falta, jejejejej!!
>>
>>
>> En cuanto a las soluciones de seguridad, veo que todos mï¿œs o menos
>> usamos los mismos sistemas. Asᅵ que al menos me quedo un poco mᅵs
>> tranquilo.
>>
> Mira a ver si encuentras unas transparencias de Flavio Gonï¿œalves del
> ClueCon o 4Kconf, en las que habla de seguridad y sobre todo
> mitigaciï¿œn de daï¿œos.
>
> Hay que asumir que alguien que no queremos puede conseguir acceso a
> una cuenta SIP porque el usuario es tonto y la tenï¿œa en un postit o
> saber. Entonces lo importante es mitigar el posible daï¿œo:
> - Limitar el nï¿œmero de llamadas simultï¿œneas
> - Cuotas de uso (por dï¿œa, por mes, ...)
> - GeoIP (si todos nuestros clientes son de Espaï¿œa y alguien se
> registra desde Egipto algo huele raro...)
> - ...
>
>
> Saludos,
>
--
Raúl Alexis Betancor Santana
> Siempre encuentras la soluci�n perfecta ! ;)
> Me gusta la propuesta.
Jejeje .. perfecta no es, a�n ..., pero trabajamos en ello. Por ahora se
ajusta m�s que sobra a los requisitos que tenemos y me libro de muchos
de los problemas de escalabidad REAL y regresion-bugs que asedian
Asterisk & cia.
Saludos
Raúl Alexis Betancor Santana
>
> Lo de limitar el consumo es super importante.
> f�cilmente evitable, con un limite mensual de consumo por ejemplo.
Samuel cornú
desde la TELCO:
SOLO destinos necesarios.
Analizar otros destinos solicitados (como adelantos por futuros consumos)
implementar limite diario de credito.
Limite mensual de credito.
Limite de canales.
habilitar solo IP necesarias( a veces otros ITSP tienen muchas IP desde donde envian trafico)
limites de invites por segundo.
Analizadores de trafico completado y rejectado, esto hace que se levante una alerta temprana al momento de ataque.
Clientes:
Tener una política de acceso físico al servidor adecuada
Políticas de acceso remoto limitado de varios Niveles ( firewall, ACL, y usuarios).
Conocer perfectamente el sistema por dentro.
Estar al día con las actualizaciones, vulnerabilidades y soluciones.
Llevar un mantenimiento continuo.
Observar los logs del sistema.
Evitar utilizar puertos estándares (SSH, HTTP, SIP, RTP, etc).
Utilizar un firewall. En lo posible mas de dos niveles.
Utilizar herramientas como fail2ban y portsentry para evitar escaneos y ataques de fuerza bruta
Denegar peticiones al 5060/4569 UDP desde el exterior siempre que no tenga
usuarios SIP/IAX externos.
Limite de canales por usuario y por trunk.
Limite diario de crédito por usuario.
Límite mensual por trunk.
DROPear cualquier paquete procedente de cualquier IP que no sea de su red o redes de
confianza.
Rotar password periódicamente.
Tener listas de Acceso (ACL) para las registraciones de las extensiones.
No dejar los usuarios y password por defectos de enlatados como elastix, trixbox, etc.
En el caso de utilizar el protocolo SIP, autentificar el paquete de INVITE.
No permitir llamadas sin autentificar.
Validar la integridad de los ejecutables del sistema. (chkrootkit)
Tener un control de la integridad de los directorios y archivos.(Aide)
Correr solo los servicios que realmente sean necesarios.
Implementar Monitoreo y log remotos.
aprovisionar automaticamente los teléfonos IP y Softphones
Evitar entregar los SIP password a los usuarios finales
Una solución a conciencia de Backup y disaster recovery.
Estos son algunas de las recomendaciones que les hacemos a nuestros clientes y las que implemento personalmente en mis instalaciones.
La verdad desde que implemente estas medidas no he tenido ningún evento de seguridad, y la mayoría de nuestros clientes quien han implementados estas medidas no han tenido eventos.
Igualmente no hay una receta en la que puedas confiar, ya que constantemente descubren nuevas modalidades de ataques, herramientas que cualquier novato puede tener éxito en un ataque.
Espero que les sirva y si quieren compartir otras experiencias, serán bienvenidas.
On Tue, Feb 14, 2012 at 11:42:07AM +0100, Germán Aracil Boned wrote:
>
> Lo de limitar el consumo es super importante.
> Sé de casos donde han robado decenas de miles de euros. Y es algo
> fácilmente evitable, con un limite mensual de consumo por ejemplo.
Yep, pero limitar al consumo 'del mes', solo sirve para que si le
jeringan la cuenta el día 1 ... lo bloquees para el resto del mes.
Nosotros estamos trabajando en una solución un poco más 'dinámica',
perfiles de consumo. Si un cliente tiene un perfil de llamadas con un
pico de 4 simultáneas en horas punta, y sus horas punta son de 8 a 12,
con un perfil de llamada nacional ... ¿que sentido tienen autorizarle
llamadas a Blangladesh, a las 3 de la mañana, desde una IP no
'habitual' e intentando establecer 50 llamadas simultáneas? ... ;)
Saludos
--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Para anular la suscripción: asterisk-es...@googlegroups.com
--
Samuel Cornú
Ronin ARG
Adolfo Nidegger
>
> Saludos
Rodrigo Ramírez Norambuena
El lunes, 13 de febrero de 2012, 17:08:19 (UTC-3), german aracil escribió:
Mira este parche que hice precisamente para tener una lista negra en asterisk. Se limita a descartar el paquete que viene:
Hola,
Revivo este post ya que he estado buscado este parche, no he podido dar con el. El sitio web asterisk-es-rsp.org ya no está arriba.
¿Alguien tendrá este parche por algún lado?
Saludos,
--
Rodrigo Ramírez Norambuena
http://www.rodrigoramirez.com
Ramses
>---
>Has recibido este mensaje porque estás suscrito al grupo "asterisk-es"
>de Grupos de Google.
>Para anular la suscripción a este grupo y dejar de recibir sus
>mensajes, envía un correo electrónico a
>asterisk-es...@googlegroups.com.
>Para publicar una entrada en este grupo, envía un correo electrónico a
>aster...@googlegroups.com.
>Visita este grupo en https://groups.google.com/group/asterisk-es.
>Para obtener más opciones, visita https://groups.google.com/d/optout.
Rodrigo, a ver si con esto te apañas...
https://www.sinologic.net/blog/2014-06/sipcheck2-vigila-tu-asterisk-en-busca-de-atacantes.html
Saludos,
Ramses
Rodrigo Ramírez Norambuena
> El 20 de febrero de 2016 19:30:32 CET, "Rodrigo Ramírez Norambuena" <decip...@gmail.com>
> escribió:
>
>> El lunes, 13 de febrero de 2012, 17:08:19 (UTC-3), german aracil
>> escribió:
>>> Mira este parche que hice precisamente para tener una lista negra en
>>> asterisk. Se limita a descartar el paquete que viene:
>>
>> http://www.asterisk-es-rsp.org/doku.php/patch:asterisk:tecnoxarxa-sipblacklist.patch
>>>
>>
>> Hola,
>>
>> Revivo este post ya que he estado buscado este parche, no he podido dar
>> con
>> el. El sitio web asterisk-es-rsp.org ya no está arriba.
>>
>> ¿Alguien tendrá este parche por algún lado?
>>
>
> https://www.sinologic.net/blog/2014-06/sipcheck2-vigila-tu-asterisk-en-busca-de-atacantes.html
>
> Saludos,
>
> Ramses
Hola Ramses,
Saludos cordiales,
Si había visto sipcheck, buen trabajo de Elio.
El tema es que ando buscando el otro parche para cachurearlo dentro del Asterisk, quería ver como
se comporta y si se le pueden agregar nuevas cosas. Se podría empezar algo desde 0 pero antes
quería mirar el otro código para no reinvitar la rueda ;)
Así si alguien mas lo tiene o se acuerda de memoria las líneas el patch ;) se lo agradecería
Angel Elena
--------------------------------
Ángel Elena Medina _o)
cr...@craem.net / \\
http://blog.craem.net _(___V
@craem_
--------------------------------
-----Mensaje original-----
De: Rodrigo Ramírez Norambuena <decip...@gmail.com>
Enviado: Sab 20-02-2016 21:09