[AsteriskBrasil] Fail2Ban não bloqueia ataque

Wladimir Elvich Danielski wroot em goldentelecom.com.br
Quarta Janeiro 5 00:12:51 BRST 2011


Pois olhe,

Também tem o bom e velho iptables, não pega tudo porém filtra uns 80%,
uma vez que vc identificou a rede origem do ataque e conhece a dos 
clientes :

iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 5060:5061 -j ACCEPT
iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 10000:30000 -j ACCEPT
iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 5060:5061 -j ACCEPT
iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 10000:30000 -j ACCEPT
iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 5060:5061 -j ACCEPT
iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 10000:30000 -j ACCEPT
iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 5060:5061 -j ACCEPT
iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 10000:30000 -j ACCEPT
iptables -A INPUT -i eth0 -j DROP

[]'s wroot

Em 04/01/2011 23:57, Oseias Ferreira escreveu:
> Em 04/01/2011, às 19:33, João Marcelo Queiroz escreveu:
>
>> Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam
>> celular (3G) com ramais registrados diretamente no servidor. Sendo
>> assim não tenho como liberar apenas os IPs conhecidos. Em outra
>> empresa utilizo VPN, mas nesse caso não posso, por conta dos
>> aparelhos celular e alguns ATAs em outras cidades apontando para o
>> servidor (IP dinâmico).
>>
>> Mas obrigado pela sugestão,
>>
> As vezes que eu testei este fail2ban ele comportou de forma estranha.
> As vezes ele fechava o host atacante conforme a configuração, no caso
> eu havia estipulado 10 tentativas registradas nos logs.
> Outras vezes, precisava mais de 100 tentativas. Outras vezes, ele só
> fechava depois de umas 500 tentativas.
> Isto eu usando um host para testar as invasões, atacando da mesma
> forma. Quando ele fechava eu reiniciava o firewall e limpava os logs
> antes de um novo ataque.
> Resumindo: Eu não consegui fazer ele funcionar.
> Existem outros IDS, porém aqui na lista só ouvi falarem do fail2ban. O
> motivo disto é porque não sabem ou porque não querem passar a
> informação.
> Talvez seja mais fácil você conseguir isto num forum que trate
> especificamente de linux e ou segurança.
>
> Eu usei o Snort por um tempo, antes de começar mexer com asterisk. Ele
> é bom, porém complicado de configurar. Só para impedir acesso ao seu
> sip, talvez ele seja um canhão para matar uma mosca.
> Se você puder, mude a porta de acesso do sip para uma diferente da
> 5060. Geralmente estes ataques são feitos por bots que escaneiam a
> rede atrás de 5060 abertas.
> Se trocar, já reduz bastante o número de tentativas. Coloque senhas
> difíceis e só permita acesso para as contas que realmente precisam.
>
> Abraço.
>
> --
> Oséias Ferreira.
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>



Mais detalhes sobre a lista de discussão AsteriskBrasil