[AsteriskBrasil] Fail2Ban não bloqueia ataque
João Marcelo Queiroz
jmbq em bol.com.br
Quarta Janeiro 5 10:40:26 BRST 2011
Leandro,
tem uma pequena diferença de sintaxe, no seu asterisk.conf existe o .. (ponto ponto) e no meu não (utilizo o apóstrofo ' ) , segue o meu para comparação:
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
ignoreregex =
Procede essa diferença?
Atenciosamente,
João Queiroz
Em 05/01/2011, às 00:26, leandro alves escreveu:
> Bem, no meu caso funciona bem, seguem minhas confs abaixo, tente comparar para ver se há algo de diferente:
>
> - Arquivo de filtro para SIP: /etc/fail2ban/filter.d/asterisk.conf
>
>
> [INCLUDES]
>
> [Definition]
> failregex = NOTICE.* .*: Registration from ..*. failed for .<HOST>. . Wrong password
> NOTICE.* .*: Registration from ..*. failed for .<HOST>. . No matching peer found
> NOTICE.* .*: Registration from ..*. failed for .<HOST>. . Username/auth name mismatch
> NOTICE.* .*: Registration from ..*. failed for .<HOST>. . Device does not match ACL
> NOTICE.* <HOST> failed to authenticate as ..*.$
> NOTICE.* .*: No registration for peer ..*. \(from <HOST>\)
> NOTICE.* .*: Host <HOST> failed MD5 authentication for ..*. (.*)
> NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
> ignoreregex =
>
>
> - No "jail.conf":
>
> [asterisk-iptables]
>
> enabled = true
> filter = asterisk
> action = iptables-allports[name=ASTERISK, protocol=all]
> # sendmail-whois[name=ASTERISK, dest=planetfone-fail2ban em planetarium.com.br, sender=fail2ban em pfdesenv3.planetarium.com.br]
> sendmail-whois[name=ASTERISK]
> logpath = /var/log/asterisk/full
> maxretry = 3
> bantime = 259200
>
> **** Lembrando que em "logpath", deverá conter exatamente o caminho de onde é gerado o log do asterisk, devidamente configurado no arquivo logger.conf
>
>
> Att.,
>
> Em 5 de janeiro de 2011 00:25, Oseias Ferreira <ferreira.oseias em gmail.com> escreveu:
>
> Em 05/01/2011, às 02:12, Wladimir Elvich Danielski escreveu:
>
> > Pois olhe,
> >
> > Também tem o bom e velho iptables, não pega tudo porém filtra uns 80%,
> > uma vez que vc identificou a rede origem do ataque e conhece a dos
> > clientes :
> >
> > iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 5060:5061 -j
> > ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 10000:30000 -
> > j ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 5060:5061 -j
> > ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 10000:30000 -
> > j ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 5060:5061 -j
> > ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 10000:30000 -
> > j ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 5060:5061 -j
> > ACCEPT
> > iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 10000:30000 -
> > j ACCEPT
> > iptables -A INPUT -i eth0 -j DROP
>
> Se nenhum usuário for registrar fora do Brasil, realmente pode usar.
> Como a maioria dos ataques têm origem de IPs de fora, (provavelmente
> os bots usam a rede tor), vai bloquear boa parte.
> Mas em conjunto com um IDS, pode pegar até mesmo os ataques originados
> de IPs brasileiros.
>
> http://en.wikipedia.org/wiki/Intrusion_Detection_System
>
> --
> Oséias Ferreira.
>
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> --
> Leandro,
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110105/081ba69e/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil