[AsteriskBrasil] RES: RES: RES: Invasão

Marco Antonio (TRG Tecnologia) marco em trg.com.br
Segunda Janeiro 30 16:03:25 BRST 2012 

Boa tarde,

Instalei o fail2ban conforme o Alejandro passou o link.

Alterei os arquivos necessários conforme solicitado.

Porem ao conferir se a regra de firewall está ok, me retorna em branco as
regras.



[root em easyPBX ~]# iptables -L -v

Chain INPUT (policy ACCEPT 1514K packets, 284M bytes)

pkts bytes target     prot opt in     out     source
destination

 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target     prot opt in     out     source
destination

 

Chain OUTPUT (policy ACCEPT 1458K packets, 293M bytes)

pkts bytes target     prot opt in     out     source
destination

 

Quando deveria aparecer algo assim:

Chain fail2ban-ASTERISK (1 references)
pkts bytes target prot opt in out source destination
6287K 1158M RETURN all – any any anywhere anywhere

 

Lembrando que meu firewall está em outra maquina.

 

Tenho que subir o fail2ban na mão ou não faço nada?

 

Alguma dica para me ajudar?

 

Obrigado

 

Marco Antonio




 

 

 

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de
Fernando Meira Lins - Diretor Comercial
Enviada em: segunda-feira, 30 de janeiro de 2012 13:45
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: [AsteriskBrasil] RES: RES: Invasão

 

Pode editar Diretamente nas configurações do fail2ban em /etc/fail2ban.
Procure no arquivo jail.conf a TAG sendmail-whois[name=XXXXXXXXX,
dest=e-mail_do_destinatario, sender=e-mail_do_remetente]

 

Basta vc editar ao seu gosto. Em nosso caso inserimos no name=nome ou IP do
servidor, então sabemos qual máquina houve a tentativa de invasão.

 

Atenciosamente;

 

Fernando de Meira Lins 

 

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Wagner
Enviada em: segunda-feira, 30 de janeiro de 2012 12:09
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] RES: Invasão

 

Aproveitando o tópico, estou instalando o Fail2Ban em alguns clientes, esta
funcionando perfeitamente o iptables esta banindo as tentativas de invasões
e estou recebendo os e-mails das verificações do Fail2Ban. Mas me veio a
pergunta o que mais é possível fazer com o Fail2Ban, por exemplo customizar
os e-mail's das verificações de banimento assim posso saber de qual cliente
veio o e-mail, tentei editar o mail.conf e o mail-whois.conf e não obtive
sucesso.

Alguém sabe como modificar isto?

Em 30-01-2012 11:01, Thiago Bruni Tawil escreveu: 

na vdd o fail2ban vc instala no SO, ele tambem analiza outris logs, voce soh
precisa definir as regras que ele vai seguir para bloquear...

Em 30/01/2012 08:50, "Alejandro Flores" <alejandrorflores em gmail.com>
escreveu:

Marco,

A senha do freepbx ( Console do Elastix -> PBX -> Unembed Freepbx )
você não altera na instalação, uma falha grave que ja foi corrigida
nas versões superiores.
O fail2ban é no asterisk, pois ele fica analisando os logs e
verificando as falhas de conexão, para quando detectar, bloquear
imediatamente o acesso.

Abraço!

> Bom dia Alejandro.
> As senhas pré-definidas já foram alteradas na instalação.
> A senha é forte, com números, letras e caracteres especiais.
> Realmente a porta 443 estava aberta (fechei), mas a 80 fechada.
> Os ramais foram configurados com o mesmo padrão de senhas.
> Quando ao fail2ban, devo instalá-lo no meu firewall ou no asterisk?
>
> Obrigado
>
> Marco Antonio
>
>
>
>
> -----Mensagem original-----
> De: asteriskbrasil-bounces em listas.asteriskbrasil.org
> [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de
> Alejandro Flores
> Enviada em: segunda-feira, 30 de janeiro de 2012 09:16
> Para: asteriskbrasil em listas.asteriskbrasil.org
> Assunto: Re: [AsteriskBrasil] Invasão
>
> Marco,
>
> O elastix 1.6 utiliza senhas pré-configuradas, ou seja, todo mundo
> sabe quais são.
> Mesmo que você tenha alterado a senha do admin da console, ainda tem a
> senha do freepbx, que provavelmente é por onde eles se aproveitaram.
> Sem falar nas vulnerabilidades da versão ja difundidas.
> Sugiro que você feche imediatamente o acesso externo a console do
> elastix, portas 80/tcp e 443/tcp.
> Utilize o fail2ban pra bloquear os ips das tentativas inválidas de
conexão.
> Use senhas fortes nos ramais.
> Enfim, tem muitas dicas de segurança na lista, da uma olhada no histórico.
>
> Abraço!
>
>
> 2012/1/30 Marco Antonio (TRG Tecnologia) <marco em trg.com.br>:
>> Bom dia Lista...
>>
>> Tenho um Elastix 1.6.3 e não com muita freqüência, esporadicamente vejo
> que
>> criam ramais IAX e SIP.
>>
>> IAX não mais pois fechei as portas, porem como preciso de SIP externo,
>> continuam em cima.
>>
>> Como devo fazer para bloquear as invasões?
>>
>> Preciso ter os ramais externos. Não consigo fazer por VPN pois
> externamente
>> são apenas aparelhos IP’s.
>>
>> Alguma dica?
>>
>>
>>
>> Abraços
>>
>>
>>
>> Marco Antonio
>>
>>
>>
>>
>>
>>
>>
>>
>> _______________________________________________
>> KHOMP ::: External Series Experience :::
>> Um novo conceito para o mercado de aplicações que vai
>> fazer você pensar fora da caixa. Aguarde este lançamento
>> _______________________________________________
>> DIGIVOICE: Lider no mercado de placas para Asterisk
>> Único fabricante com Centro de Treinamento especializado.
>> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
>> www.digivoice.com.br ou (11)3016-5200.
>> ________
>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> --
>
> Alejandro Flores
> http://www.triforsec.com.br/
> _______________________________________________
> KHOMP ::: External Series Experience :::
> Um novo conceito para o mercado de aplicações que vai
> fazer você pensar fora da caixa. Aguarde este lançamento
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
> _______________________________________________
> KHOMP ::: External Series Experience :::
> Um novo conceito para o mercado de aplicações que vai
> fazer você pensar fora da caixa. Aguarde este lançamento
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org



--

Alejandro Flores
http://www.triforsec.com.br/
_______________________________________________
KHOMP ::: External Series Experience :::
Um novo conceito para o mercado de aplicações que vai
fazer você pensar fora da caixa. Aguarde este lançamento
_______________________________________________
DIGIVOICE: Lider no mercado de placas para Asterisk
Único fabricante com Centro de Treinamento especializado.
LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
www.digivoice.com.br ou (11)3016-5200.
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org





_______________________________________________
KHOMP ::: External Series Experience :::
Um novo conceito para o mercado de aplicações que vai
fazer você pensar fora da caixa. Aguarde este lançamento
_______________________________________________
DIGIVOICE: Lider no mercado de placas para Asterisk
Único fabricante com Centro de Treinamento especializado.
LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. 
www.digivoice.com.br ou (11)3016-5200.
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120130/9594b80f/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil