[AsteriskBrasil] Fail2Ban não bloqueia ataque

João Marcelo Queiroz jmbq em bol.com.br
Quarta Janeiro 5 10:14:39 BRST 2011 

Ozeas, é exatamente isso que está ocorrendo aqui. Raras vezes bloqueia, e isso depois de muitas tentativas.
Vou mudar as portas SIP, realmente normalmente fico no range 506X, passarei para uma porta mais alta.

Obrigado pela lembrança.

João Queiroz


Em 04/01/2011, às 22:57, Oseias Ferreira escreveu:

> 
> Em 04/01/2011, às 19:33, João Marcelo Queiroz escreveu:
> 
>> Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam  
>> celular (3G) com ramais registrados diretamente no servidor. Sendo  
>> assim não tenho como liberar apenas os IPs conhecidos. Em outra  
>> empresa utilizo VPN, mas nesse caso não posso, por conta dos  
>> aparelhos celular e alguns ATAs em outras cidades apontando para o  
>> servidor (IP dinâmico).
>> 
>> Mas obrigado pela sugestão,
>> 
> 
> As vezes que eu testei este fail2ban ele comportou de forma estranha.
> As vezes ele fechava o host atacante conforme a configuração, no caso  
> eu havia estipulado 10 tentativas registradas nos logs.
> Outras vezes, precisava mais de 100 tentativas. Outras vezes, ele só  
> fechava depois de umas 500 tentativas.
> Isto eu usando um host para testar as invasões, atacando da mesma  
> forma. Quando ele fechava eu reiniciava o firewall e limpava os logs  
> antes de um novo ataque.
> Resumindo: Eu não consegui fazer ele funcionar.
> Existem outros IDS, porém aqui na lista só ouvi falarem do fail2ban. O  
> motivo disto é porque não sabem ou porque não querem passar a  
> informação.
> Talvez seja mais fácil você conseguir isto num forum que trate  
> especificamente de linux e ou segurança.
> 
> Eu usei o Snort por um tempo, antes de começar mexer com asterisk. Ele  
> é bom, porém complicado de configurar. Só para impedir acesso ao seu  
> sip, talvez ele seja um canhão para matar uma mosca.
> Se você puder, mude a porta de acesso do sip para uma diferente da  
> 5060. Geralmente estes ataques são feitos por bots que escaneiam a  
> rede atrás de 5060 abertas.
> Se trocar, já reduz bastante o número de tentativas. Coloque senhas  
> difíceis e só permita acesso para as contas que realmente precisam.
> 
> Abraço.
> 
> --
> Oséias Ferreira.
> 
> 
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito 
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

Mais detalhes sobre a lista de discussão AsteriskBrasil