Per cambiare i permessi di accesso ad un file e/o cartella si utlizza il comando chmod con la seguente sintassi:

chmod [valore utente] [valore gruppo] [valore altri] -[opzione eventuale] nomefile

Di seguito l’elenco dei valori per settare i permessi sui file
7 = rwx = read, write, execute
6 = rw- = read, write
5 = r-x = read, execute
4 = r– = read
3 = -wx = write, execute
2 = -w- = write
1 = –x = execute
0 = — = no permissions

Esempio:

chmod 750 nomefile

In questo modo l’utente legge, scrive ed esegue (7), gli utenti appartenenti al gruppo leggono ed eseguono ma non possono scrivere ne cancellare (5); gli altri utenti non appartenenti al gruppo non possono accedere del tutto (0)

se si vuole cambiare i permessi ad una intera directory ricorsivamente (anche a tutte le sottodirectory e files in essa contenute)

chmod 750 -R nomedirectory/*

per assegnare invece un file ad uno specifico utente e gruppo

chown nomeutente:nomegruppo nomefile

Iptables è il firewall installato in modo predefinito su Ubuntu e su tutte le distribuzioni Linux. In questo post non troverete i concetti base ma uno script da utlilzzare e modificare per mettere in sicurezza il pc/server.

Lo script permette l’accesso in ssh e http ed  è il seguente:

#!/bin/bash
case “$1″ in

start)
modprobe ip_conntrack
modprobe ip_conntrack_ftp
### Cancella le regole precedenti ###
iptables -F

####  Default Policy ###
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

######################
####  Input Chain Policy ####
######################

### Stateful firewall ###
iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT

#### ICMP policy  (rispondi al ping…..solo echo request) ####
iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT
### ssh ###
iptables -A INPUT -p tcp –dport 22 -s 192.168.19.0/24 -j ACCEPT

### http ###

iptables -A INPUT -p tcp –dport 80 -s 192.168.19.0/24 -j ACCEPT
## User feedback….
echo ‘Firewall attivo…..’
;;

stop)
## setta le default policy su ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

## Cancella le regole precedenti
iptables -F
## User feedback……..
echo ‘Firewall disattivato. Server NON protetto.’
;;

status)
iptables -vnL
;;

esac

Supponendo che lo script abbia il nome firewall ed eseguite i seguenti comandi:

mv firewall /etc/init.d/
update-rc.d firewall defaults

A questo punto per eseguire  il firewall è sufficente eseguire il comando

/etc/init.d/firewall start

Grazie a Marco G. per lo script

Innanzitutto è necessario scaricare Greenpois0n Windows RC5_b2 e avere il prorpio dispositivo aggiornato all’iOS 4.2.1.

Di seguito il procedimento da seguire:

Collegate l’iPhone al computer. Avviate Greenpois0n e cliccate il tasto Prepare to Jailbreak (DFU). A questo punto verranno illustrate le istruzioni per mettere il dispositivo in DFU. In particolare si dovrà:

• Cliccare contemporanemante il tasto Home e quello di Accensione per 10 secondi precisi

• Rilasciate il tasto di accensione e continuate a cliccare Home fino alla fine del processo.

Una volta entrati nella modalitò DFU, il programma eseguirà il Jailbreak. Al termine, vi ritroverete con una nuova applicazione sulla SpringBoard, chiamata Loader che dovrete eseguire per installare Cydia

Per lanciare il programma basta digitare da linea di comando:

crontab

che non è nient’altro che un file di testo che viene letto e interpretato dal cron deamon. Se si vuole specificare l’utente per cui si esegue tale comando basta aggiungere l’opzione “-u”:

crontab -u username

Per editare il file e quindi inserire o togliere le nostre operazioni pianificate il comando da utilizzare è:

crontab -e

e automaticamente si aprirà l’editor predefinito. Se vogliamo cambiare editor sarà sufficente esegiore da linea di comando “select-editor”

# select-editor

Select an editor. To change later, run ‘select-editor’.

1. /usr/bin/vim.basic

2. /usr/bin/vim.tiny

Choose 1-2 []:

# m h dom mon dow command

50 2 * * * /usr/bin/mail -s ‘Ciao mondo’ pippo@domain.it < /tmp/

*/10 * * * * /usr/bin/mail -s ‘Ciao mondo’ pippo@domain.it < /tmp/

‘chmod +x ./rof.rb’

e poi eseguirlo,

oppure usare

‘ruby ./rof.rb’

Di seguito un video dimostrativo

IMPORTANTE: Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.). Inoltre  la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615-quater c.p.

Pertanto l’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete la quale il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

Non mi ritengo responsabile di eventuali violazioni derivanti da un uso proprio o improprio delle tecniche esposte in questo articolo aventi uno scopo prettamente informativo e didattico.

Un URI si compone di più parti: uno schema che fornisce informazioni sul protocollo usato (ad esempio, http:, ftp:, mailto:) ed una serie di dati, aggiunti in successione, che dipendono dallo specifico schema.
Sintassi e semantica di queste ultime informazioni sono determinate dalle specifiche dello schema che viene impiegato. Gli schemi degli URI mantenuti dallo IANA sono consultabili facendo riferimento a questa pagina. Alcuni software possono utilizzare e registrare sul sistema altri protocolli utilizzando un proprio schema URI, come ad esempio Skype.

Poniamo il caso, quindi, in cui un utente abbia un iPhone con Skype installato e impostato in modo tale che ci sia il login automatico (o meglio ancora che sia in esecuzione in background). Navigando con Safari su un sito in cui è presente un codice tipo questo:

automaticamente verrà lanciata l’applicazione Skype che farà partire una chiamata verso quel numero!

Provare per credere…Visitando questo link con il vostro iPhone vedrete partire automaticamente Skype che farà una chiamata ad un numero inesistente (così che non rischiate di spendere nulla).

(grazie a Davide per la segnalazione)

[AGGIORNAMENTO]
Il bug è stato risolto con la versione 3.0

IMPORTANTE: Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.). Inoltre  la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615-quater c.p.

Pertanto l’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete la quale il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

Non mi ritengo responsabile di eventuali violazioni derivanti da un uso proprio o improprio delle tecniche esposte in questo articolo aventi uno scopo prettamente informativo e didattico.

Un gruppo di ragazzi (wifiresearchers) ha scoperto gli algoritmi che permettono di calcolare la password della rete wireless fornita con l’adsl di  Fastweb o Alice (Telecom). In particolare è possibile recuperare una chiave WPA dell’operatore FastWeb esclusivamente con Access Point Pirelli e degli Acces Point Alice con Firmware AGPF.

Nel caso di Fastweb la password si calcola conoscedo solo l’SSID mentre per Alice oltre all’SSID serve anche il seriale del router.

Cercando un po su Internet potete trovare diversi programmi (tipo Alice WPA Calculator o WPA Tester) e Script (WPA Alice, WPA Fastweb) per il calcolo delle password.

Chiaramente non poteva mancare anche la versione per iPhone (naturalmente se Jailbrekkato!). Il tool si chiama Wuppy ed è scaricabile su Cydia nella repository di BigBoss

La soluzione al problema quindi è quella di cambiare la vostra password WPA

La soluzione principale è quindi quella di utilizzare delle password sicure e magari modificare la porta di ascolto su una non standard.

Per rendere il nostro centralino ancora più sicuro e quindi proteggerlo da attacchi di tipo bruteforce menzionati sopra, possiamo utilizzare fail2ban. La guida che segue è specifica per OpenSIPs e Asterisk

Che cosa è fail2ban?

E’ un applicativo che esamina i file di log relativi al servizio che vogliamo proteggere (ssh, http, sip ecc..) e nel caso in cui riscontri più di un determinato numero di tentativi falliti in un certo intervallo di tempo (configurabile)  blocca temporaneamente (tramite iptables)  l’IP che sta tentando l’accesso.

Configurazione base fail2ban

Una volta installato (“sudo apt-get install fail2ban ” su macchine Ubuntu e Debian) troviamo i file di configurazione sotto la cartella /etc/fail2ban.

In particolare nel file /etc/fail2ban/jail.local sono presenti le regole di ban per i diversi servizi. Ciascuna regola è identificata dal nome tra parentesi quadre. Esempio predefinito per ssh:

[ssh]

enabled = true

port    = ssh

filter  = sshd

logpath  = /var/log/auth.log

maxretry = 6

dove i parametri indicano:

enabled: se la regola è attivata

port: la porta che viene bloccata, è possibile indicare il servizio che gira sulla porta o il valore della porta numerico.

filter: il filtro usato dallo script per identificare i tentativi di accesso. (NB:  i diversi filtri si trovano nella directory /etc/fail2ban/filter.d). In questo caso usiamo il filtro indicato come sshd

logpath: il percorso del file di log da  monitorare per determinare i tentativi di accesso.

maxretry: il numero di tentativi di accesso negato da trovare prima che venga bloccato l’IP che sta tentando l’accesso.

Nella cartella  /etc/fail2ban/filter.d si trovano i file che rappresentano i filtri per i vari servizi.

Configurazione fail2ban per OpenSIPs (ma anche OpenSER e Kamailio)

Prima di far interoperare opensips con fail2ban dobbiamo modificare alcuni valori del file di configurazione opensips.cfg e rsyslog.conf Di seguito le operazioni da eseguire:

- sul file opensips.cfg:

modificare  log_facility=LOG_LOCAL0 con: log_facility=LOG_LOCAL7

modificare tutte le occorrenze in cui viene richiesta l’autenticazione da

if (!www_authorize("", "subscriber")) {
	www_challenge("", "0");
	exit;
}

a

$var(auth_code) = www_authorize("", "subscriber");
if ( $var(auth_code) == -1 || $var(auth_code) == -2 ) {
		xlog("L_NOTICE","Auth error for $fU@$fd from $si cause $var(auth_code)");
}
if ( $var(auth_code) < 0 ) {
		www_challenge("", "0");
		exit;
}

- sul file rsyslog.conf:

aggiungiamo la riga: local7.* /var/log/opensips.log

Passiamo ora alla configurazione di fail2ban; aggiungiamo alla fine del file /etc/fail2ban/jail.conf il nuovo servizio:

[opensips]
enabled  = true
filter   = opensips
action   = iptables-allports[name=opensips, protocol=all]
           sendmail-whois[name=opensips, dest=destination@example.com, sender=source@example.com]
logpath  = /var/log/opensips.log
maxretry = 5
bantime = 3600

e creiamo nella cartella /etc/fail2ban/filtered.d un nuovo file opensips.conf nel seguente modo:

# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = opensips

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

failregex = Auth error for .* from <HOST> cause -[0-9]

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

A questo punto facciamo ripartire il servizio con il comando: /etc/init.d/fail2ban restart

Configurazione fail2ban per Asterisk

Di seguito la configurazione di fail2ban per proteggere il nostro server Asterisk. Aggiungiamo alla fine del file /etc/fail2ban/jail.conf il nuovo servizio:

[asterisk-iptables]

enabled  = true
filter   = asterisk
action   = iptables[name=ASTERISK, port=5060, protocol=udp]
           sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org]
logpath  = /var/log/asterisk/full
maxretry = 5
bantime = 259200

Con questa configurazione viene bloccato per 3 giorni l’IP che ha eseguito l’attacco. Assicurarsi di modificare l’azione sendmail-whois per inviare notifiche a un indirizzo appropriato.

Successivamente creiamo nella cartella /etc/fail2ban/filtered.d un nuovo file asterisk.conf nel seguente modo:

# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
            NOTICE.* <HOST> failed to authenticate as '.*'$
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Prima di far ripartire il servizio fail2ban è necessario (per motivi di compatibilità relativi al formato della data) modificare il file di logger di asterisk (/etc/asterisk/logger.conf) nel seguente modo:

[general]
dateformat=%F %T
full => notice,warning,error

A questo punto riavviare il modulo di logger di Asterisk

asterisk -rx ”logger reload”

Importante: nella sezione [DEFAULT] possiamo definire gli IP che non dovranno essere MAI bannati (per non rischiare di buttare fuori uno o più host della nostra LAN), mediante il parametro ignoreip

ignoreip = 127.0.0.1 192.168.1.0/24

— CentOS —

Sulle distribuzioni RH based, tra cui CentOS, è possibile configurare i parametri di rete sul file /etc/sysconfig/network-scripts/ifcfg-eth0 per quanto riguarda l’interfaccia eth0. Es:

DEVICE=eth0
BOOTPROTO=static
DHCPCLASS=
IPADDR=192.168.100.1
GATEWAY=192.168.100.254
NETMASK=255.255.255.0
ONBOOT=yes

Per eventuali indirizzi IP aggiuntivi devi modificare i file /etc/sysconfig/network-scripts/ifcfg-eth0:x con x pari a 0,1,2,3,4… come sopra, levando la riga che inizia per GATEWAY=.

— Ubuntu —

Sulla distribuzione Ubuntu invece il file da editare è /etc/network/interface nel quale vanno configurate tutte le interfacce di rete. Es

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.100.1
netmask 255.255.255.0
network 192.168.100.0
broadcast 192.168.100.255
gateway 192.168.100.254

auto eth1
iface eth1 inet dhcp

In entrambe i casi il dns va inserito nel file /etc/resolve.conf

search nomedominio1.it
nameserver 8.8.8.8

Nella telefonia analogica ci sono due tipi di interfacce (e due tipi di segnalazioni): FXS e FXO

- FXS (Foreign eXchange Station) è la porta che consegna la linea analogica all’utente (la presa sul muro che fornisce il segnale dalla centrale) e quindi prodice il dial-tone.

- FXO (Foreign eXchange Office) è la porta che riceve la linea analogica (la presa sull’apparecchio telefonico) e quindi riceve il dial-tone.

E’ possibile utilizzare la linea analogica che abbiamo a casa con il nostro centralino Asterisk sfruttando una scheda Digium TDM410 (o analoghe) mostrata in figura

Questo tipo di scheda prevede l’espandibilità fino a 4 linee FXS o FXO. In particolare questa ha montato un modulo FXO (colore rosso) sulla porta 4 e un modulo FXS (colore verde) sulla porta 1.

Dalle cose dette prima quindi, sul modulo FXS (verde) che invia il dial-tone, va attaccato un apparato con porta FXO che riceve il dial-tone (telefono, fax, etc), mentre la porta FXO (rossa) va attaccata sulla presa FXS da cui arriva il segnale della centrale (presa muro).

Linea digitale ISDN (BRI/PRI)

Una linea ISDN (Integrated Services Digital Network) viene fornita all’utenza mediante due tipi di connessione verso la centrale pubblica: Basic Rate Interface (BRI) e Primary Rate Interface (PRI). Entrambi Primary Rate Interface e Basic Rate Interface sono costituiti da un certo numero di canali B e D canali. B Channel o il Canale Portatore è utilizzato per la trasmissione dei dati, tra cui voce e il canale D è destinato per la segnalazione e controllo. LA differenza sta nel numero di canali di tipo B:

BRI: 2 canali B da 64 Kbps e 1 canale D da 16 Kbps

PRI: può essere di tipo E1(utlilzzato in Europa e in Australia) o T1 (utlilzzato in Nord America e Giappone).

- PRI E1 –> 30B + D con un bit rate totale di 2,048 Mbit / s

- PRI T1 –> 23B + D con un bit rate totale di 1,544 Mbit / s

La linea telefonica digitale utilizza la tecnica TDM (Time Division Multiplexing) per far passare su un unico flusso più chiamate contemporaneamente.

Di seguito una scheda Digium E1/T1 utilizzabile con Asterisk:

Configurazione DAHDI e Asterisk

Ci sono due file di configurazione da modificare per far funzionare le schede analogiche e digitale con Asterisk.:

- /etc/dahdi/system.conf

- /etc/asterisk/chan_dahdi.conf

— system.conf —

La configurazione hardware viene fatta nel file system.conf

# configurazione relativa al flusso primario
span=1,1,0,ccs,hdb3,crc4 #una riga per ogni flusso: span1,…span2,..
bchan=1-15 #15 canali bearer
dchan=16 #1 canale di controllo
bchan=17-31 #15 canali bearer
# configurazione relativa alla linea analogica
fxoks=32
fxsks=35
# configurazione relativa ad entrambe
loadzone=it
defaultzone=it
echocanceller=mg2,1-15,17-31,32,35

Attenzione alla configurazione delle linee analogiche: nella configurazione devo specificare non il tipo di porta ma il tipo di segnale che mi aspetto. Nel nostro caso i canali liberi per la scheda analogica in figura sono (visto che i primi 31 sono occupati dal primario):  32 (porta 1),33 (porta 2), 34 (porta 3), 35 (porta 4). In particolare:

- sulla porta 1 (canale 32) c’è il modulo verde FXS e quindi mi aspetto un segnale FXO (fxoks=32)

- sulla porta 4 (canale 35) c’è il modulo rosso FXO e quindi mi aspetto un segnale FXS (fxsks=35)

La riga span…

span=Span number,Timing,Line Build Out, Framing, Line Coding

A parte il promo valore che si incrementa per ogni primario che installiamo, il valore a cui dobbiamo fare attenzione è il Timinig (il clock): dovrà essere 0 se collegato al Telco mentre dovrà essere 1 se collegato al centralino.

NB: Dopo ogni modifica fatta al file system.conf va eseguito il comando: dahdi_cfg -vv

— chan_dahdi.conf —

[channels]

group=1
context=local
signaling=fxo_ks ;segnalazione che si aspetta –> ci attacco il telefono
callerid=”Bob Analog”<6003>
mailbox=”6003″
callwaiting=yes
threewaycalling=yes
transfer=yes
channel => 32

group=2
context=from_outside
signaling=fxs_ks ; segnalazione che si aspetta –> ci attacco la linea
callerid=asrecived
callwaiting=mp
channel => 35

group=3
echocancel=yes
echocancelwhenbridge=no
echotraining=yes
switchtype=euroisdn
context=from_outside
signalling=pri_cpe
channel => 1-15
channel => 17-31

Ciascun canale DAHDI (system.conf) può essere assegnato a uno o più channel group (chan_dahdi.conf). E’ necessario utilizzare il numero del gruppo nell’applicaziond Dial():

exten => 123,1,Dial(DAHDI/g2/06555444)

In questo caso su sta utilizzando la linea analogica.

Se scrivo

exten => 123,1,Dial(DAHDI/g1/06555444)

utilizzo il flusso primario. Ma quale sarà il canale occupato? In questo caso (g) i canali verranno occupati in maniera sequenziale (1,2,3,…) ma posso scegliere anche:

l’ordine inverso (G): exten => 123,1,Dial(DAHDI/G1/06555444)

l’ordine casuale (round-robin) ascendente (r) : exten => 123,1,Dial(DAHDI/r1/06555444)

l’ordine casuale (round-robin) dicendente (R) : exten => 123,1,Dial(DAHDI/R1/06555444)