[AsteriskBrasil] Fail2Ban não bloqueia ataque

[Oseias Ferreira]

Em 04/01/2011, às 19:33, João Marcelo Queiroz escreveu:

> Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam  
> celular (3G) com ramais registrados diretamente no servidor. Sendo  
> assim não tenho como liberar apenas os IPs conhecidos. Em outra  
> empresa utilizo VPN, mas nesse caso não posso, por conta dos  
> aparelhos celular e alguns ATAs em outras cidades apontando para o  
> servidor (IP dinâmico).
>
> Mas obrigado pela sugestão,
>

As vezes que eu testei este fail2ban ele comportou de forma estranha.
As vezes ele fechava o host atacante conforme a configuração, no caso  
eu havia estipulado 10 tentativas registradas nos logs.
Outras vezes, precisava mais de 100 tentativas. Outras vezes, ele só  
fechava depois de umas 500 tentativas.
Isto eu usando um host para testar as invasões, atacando da mesma  
forma. Quando ele fechava eu reiniciava o firewall e limpava os logs  
antes de um novo ataque.
Resumindo: Eu não consegui fazer ele funcionar.
Existem outros IDS, porém aqui na lista só ouvi falarem do fail2ban. O  
motivo disto é porque não sabem ou porque não querem passar a  
informação.
Talvez seja mais fácil você conseguir isto num forum que trate  
especificamente de linux e ou segurança.

Eu usei o Snort por um tempo, antes de começar mexer com asterisk. Ele  
é bom, porém complicado de configurar. Só para impedir acesso ao seu  
sip, talvez ele seja um canhão para matar uma mosca.
Se você puder, mude a porta de acesso do sip para uma diferente da  
5060. Geralmente estes ataques são feitos por bots que escaneiam a  
rede atrás de 5060 abertas.
Se trocar, já reduz bastante o número de tentativas. Coloque senhas  
difíceis e só permita acesso para as contas que realmente precisam.

Abraço.

--
Oséias Ferreira.