[AsteriskBrasil] RES: Fail2ban

Domingo Junho 3 19:21:46 BRT 2012

Vai no /etc/asterisk/logger.conf

;messages => notice,warning,error – comenta essa linha

full => notice,error,debug,verbose – retire o comentário dessa

att

Gelmerson de Oliveira, Analista de Suporte

Hiperfone Comércio e Serviços de Informática Ltda.

Rua José Farias, 98, Ed Plena Center 601 – Santa Luiza

Vitória ES CEP 29 045-945

( 27 3222-1515

+  <mailto:ti> ti <mailto:hiperfone em hiperfone.com.br> @hiperfone.com.br  

Acesse Agora:  <http://www.hiperfone.com.br/> www.hiperfone.com.br

P Você precisa mesmo imprimir?

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de
Alclicio Vieira
Enviada em: domingo, 3 de junho de 2012 16:21
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] Fail2ban

Valeu Rogger, 

Fico aqui no aguardo do passo a passo, blz! obrigado. 

Em 3 de junho de 2012 16:15, Rogger Faioli <rogger.faioli em gmail.com>
escreveu:

Alclicio,

Não me lembro agora de cabeça, mas você tem que ativar o log "full" do
Asterisk, caso contrário não vai funcionar. Eu montei um passo a passo
quando estiver em casa te manda em PVT.

Rogger

Em 3 de junho de 2012 16:05, Alclicio Vieira <alclicio em gmail.com> escreveu:

Cara fiz esse procedimento ai

Edite o /etc/asterisk/logger.conf e defina o dateformat da seguinte forma.

 [general]
dateformat=%F %T

Na sessão [logfiles] você deve inserir a seguinte linha:

syslog.local0 => notice

Feito isso é só dar reload no logger

asterisk -rx ”logger reload”

Para verificar se o fail2ban subiu, basta rodar o seguinte comando:

Em relação aos logs do asterisk, falta algo?

obrigado pelo retorno!

Em 3 de junho de 2012 15:35, Rogger Faioli <rogger.faioli em gmail.com>
escreveu:

Amigo,

Você habilitou o seu log para o full do Asterisk?

Att,

Rogger

Em 3 de junho de 2012 14:53, Alclicio Vieira <alclicio em gmail.com> escreveu:

Pessoal,

Segui esse tutorial, porém ainda aparentemente ainda não está funcionando o
Fail2ban

##########################################################################

Configurando o Fail2Ban

Agora nós precisamos fazer com que o fail2ban seja capaz de identificar
ataques contra o asterisk.

Os arquivos de configuração ficam em: /etc/fail2ban/filter.d

Vamos criar aqui um arquivo para o asterisk.

#touch asterisk.conf

Este arquivo deve conter o seguinte:

[INCLUDES]

[Definition]
failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Wrong
password
            NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – No
matching peer found
            NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
Username/auth name mismatch
            NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Device
does not match ACL
            NOTICE.* <HOST> failed to authenticate as ‘.*’$
            NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)
            NOTICE.* .*: Host <HOST> failed MD5 authentication for ‘.*’ (.*)
            NOTICE.* .*: Failed to authenticate user .*@
<mailto:.*@%3cHOST%3e.*> <HOST>.*
ignoreregex =

No aquivo /etc/fail2ban/jail.conf  inclua as seguintes linhas:

[asterisk-iptables]

enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=root,
sender=alclicio em gmail.com] #aqui devo colocar meu email ?
logpath  = /var/log/asterisk/full
maxretry = 3
bantime = 259200
Maxretry determina a quantidade de erros que o fail2ban vai aceitar de um
determinado host antes de bani-lo.

O bantime é em segundos, portanto neste caso qualquer tentativa de ataque ao
asterisk será banida por 72 horas.

Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT], no
paramento ignoreip informe seu ip.

Edite o /etc/asterisk/logger.conf e defina o dateformat da seguinte forma.

 [general]
dateformat=%F %T

Na sessão [logfiles] você deve inserir a seguinte linha:

syslog.local0 => notice

Feito isso é só dar reload no logger

asterisk -rx ”logger reload”

Para verificar se o fail2ban subiu, basta rodar o seguinte comando:

iptables -L -v

As seguintes linhas devem aparecer:

Chain fail2ban-ASTERISK (1 references)
 pkts bytes target     prot opt in     out     source
destination
6287K 1158M RETURN     all  –  any    any     anywhere             anywhere

Estou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei
autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda
não está banindo.

-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo
Phone:55 (61) 4063-7110 - Brasília

Phone:55 (62) 3416-7800 - Goiás   

_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
www.digivoice.com.br
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
<tel:%2811%29%205503-1011> 
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo
Phone:55 (61) 4063-7110 - Brasília

Phone:55 (62) 3416-7800 - Goiás   

_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
www.digivoice.com.br
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
<tel:%2811%29%205503-1011> 
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo
Phone:55 (61) 4063-7110 - Brasília

Phone:55 (62) 3416-7800 - Goiás   

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120603/cfd521ac/attachment-0001.htm 