[AsteriskBrasil] Fail2Ban não bloqueia ataque
leandro alves
thc.leandro em gmail.com
Quarta Janeiro 5 01:26:27 BRST 2011
Bem, no meu caso funciona bem, seguem minhas confs abaixo, tente comparar
para ver se há algo de diferente:
- Arquivo de filtro para SIP: /etc/fail2ban/filter.d/asterisk.conf
[INCLUDES]
[Definition]
failregex = NOTICE.* .*: Registration from ..*. failed for .<HOST>. . Wrong
password
NOTICE.* .*: Registration from ..*. failed for .<HOST>. . No
matching peer found
NOTICE.* .*: Registration from ..*. failed for .<HOST>. .
Username/auth name mismatch
NOTICE.* .*: Registration from ..*. failed for .<HOST>. . Device
does not match ACL
NOTICE.* <HOST> failed to authenticate as ..*.$
NOTICE.* .*: No registration for peer ..*. \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for ..*. (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
ignoreregex =
- No "jail.conf":
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
# sendmail-whois[name=ASTERISK, dest=
planetfone-fail2ban em planetarium.com.br, sender=
fail2ban em pfdesenv3.planetarium.com.br]
sendmail-whois[name=ASTERISK]
logpath = /var/log/asterisk/full
maxretry = 3
bantime = 259200
**** Lembrando que em "logpath", deverá conter exatamente o caminho de onde
é gerado o log do asterisk, devidamente configurado no arquivo logger.conf
Att.,
Em 5 de janeiro de 2011 00:25, Oseias Ferreira
<ferreira.oseias em gmail.com>escreveu:
>
> Em 05/01/2011, às 02:12, Wladimir Elvich Danielski escreveu:
>
> > Pois olhe,
> >
> > Também tem o bom e velho iptables, não pega tudo porém filtra uns 80%,
> > uma vez que vc identificou a rede origem do ataque e conhece a dos
> > clientes :
> >
> > iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 5060:5061 -j
> > ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 10000:30000 -
> > j ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 5060:5061 -j
> > ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 10000:30000 -
> > j ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 5060:5061 -j
> > ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 10000:30000 -
> > j ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 5060:5061 -j
> > ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 10000:30000 -
> > j ACCEPT
> > iptables -A INPUT -i eth0 -j DROP
>
> Se nenhum usuário for registrar fora do Brasil, realmente pode usar.
> Como a maioria dos ataques têm origem de IPs de fora, (provavelmente
> os bots usam a rede tor), vai bloquear boa parte.
> Mas em conjunto com um IDS, pode pegar até mesmo os ataques originados
> de IPs brasileiros.
>
> http://en.wikipedia.org/wiki/Intrusion_Detection_System
>
> --
> Oséias Ferreira.
>
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
--
Leandro,
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110105/fd1e394c/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil