[AsteriskBrasil] Fail2Ban não bloqueia ataque
Oseias Ferreira
ferreira.oseias em gmail.com
Terça Janeiro 4 23:57:50 BRST 2011
Em 04/01/2011, às 19:33, João Marcelo Queiroz escreveu:
> Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam
> celular (3G) com ramais registrados diretamente no servidor. Sendo
> assim não tenho como liberar apenas os IPs conhecidos. Em outra
> empresa utilizo VPN, mas nesse caso não posso, por conta dos
> aparelhos celular e alguns ATAs em outras cidades apontando para o
> servidor (IP dinâmico).
>
> Mas obrigado pela sugestão,
>
As vezes que eu testei este fail2ban ele comportou de forma estranha.
As vezes ele fechava o host atacante conforme a configuração, no caso
eu havia estipulado 10 tentativas registradas nos logs.
Outras vezes, precisava mais de 100 tentativas. Outras vezes, ele só
fechava depois de umas 500 tentativas.
Isto eu usando um host para testar as invasões, atacando da mesma
forma. Quando ele fechava eu reiniciava o firewall e limpava os logs
antes de um novo ataque.
Resumindo: Eu não consegui fazer ele funcionar.
Existem outros IDS, porém aqui na lista só ouvi falarem do fail2ban. O
motivo disto é porque não sabem ou porque não querem passar a
informação.
Talvez seja mais fácil você conseguir isto num forum que trate
especificamente de linux e ou segurança.
Eu usei o Snort por um tempo, antes de começar mexer com asterisk. Ele
é bom, porém complicado de configurar. Só para impedir acesso ao seu
sip, talvez ele seja um canhão para matar uma mosca.
Se você puder, mude a porta de acesso do sip para uma diferente da
5060. Geralmente estes ataques são feitos por bots que escaneiam a
rede atrás de 5060 abertas.
Se trocar, já reduz bastante o número de tentativas. Coloque senhas
difíceis e só permita acesso para as contas que realmente precisam.
Abraço.
--
Oséias Ferreira.
Mais detalhes sobre a lista de discussão AsteriskBrasil