[AsteriskBrasil] Fail2ban

Hudson Cardoso hudsoncardoso em hotmail.com
Domingo Junho 3 19:55:47 BRT 2012 

   Olha, se nao for pedir muito, tambem gostaria de receber seu tuto...Obrigado


Hudson 
048 8413 7000048 3039 8899 opcao 2www.easyteltelecom.com.br
Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.

Date: Sun, 3 Jun 2012 16:15:40 -0300
From: rogger.faioli em gmail.com
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Fail2ban

Alclicio,
Não me lembro agora de cabeça, mas você tem que ativar o log "full" do Asterisk, caso contrário não vai funcionar. Eu montei um passo a passo quando estiver em casa te manda em PVT.

Rogger

Em 3 de junho de 2012 16:05, Alclicio Vieira <alclicio em gmail.com> escreveu:

Cara fiz esse procedimento ai



Edite o /etc/asterisk/logger.conf e defina o dateformat da seguinte forma.

 [general]
dateformat=%F %TNa sessão [logfiles] você deve inserir a seguinte linha:

syslog.local0 => notice

Feito isso é só dar reload no loggerasterisk -rx â€logger reloadâ€

Para verificar se o fail2ban subiu, basta rodar o seguinte comando:


Em relação aos logs do asterisk, falta algo?
obrigado pelo retorno!
Em 3 de junho de 2012 15:35, Rogger Faioli <rogger.faioli em gmail.com> escreveu:


Amigo,
Você habilitou o seu log para o full do Asterisk?
Att,


Rogger

Em 3 de junho de 2012 14:53, Alclicio Vieira <alclicio em gmail.com> escreveu:

Pessoal,
Segui esse tutorial, porém ainda aparentemente ainda não está funcionando o Fail2ban




##########################################################################

Configurando o Fail2Ban



Agora nós precisamos fazer com que o fail2ban seja capaz de identificar ataques contra o asterisk.



Os arquivos de configuração ficam em: /etc/fail2ban/filter.d



Vamos criar aqui um arquivo para o asterisk.



#touch asterisk.confEste arquivo deve conter o seguinte:



[INCLUDES]



[Definition]
failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Wrong password
            NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – No matching peer found
            NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Username/auth name mismatch




            NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Device does not match ACL
            NOTICE.* <HOST> failed to authenticate as ‘.*’$
            NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)




            NOTICE.* .*: Host <HOST> failed MD5 authentication for ‘.*’ (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
ignoreregex =



No aquivo /etc/fail2ban/jail.conf  inclua as seguintes linhas:



[asterisk-iptables]enabled  = true




filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=root, sender=alclicio em gmail.com] #aqui devo colocar meu email ?




logpath  = /var/log/asterisk/full
maxretry = 3
bantime = 259200




Maxretry determina a quantidade de erros que o fail2ban vai aceitar de um determinado host antes de bani-lo.



O bantime é em segundos, portanto neste caso qualquer tentativa de ataque ao asterisk será banida por 72 horas.



Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT], no paramento ignoreip informe seu ip.



Edite o /etc/asterisk/logger.conf e defina o dateformat da seguinte forma.



 [general]
dateformat=%F %T



Na sessão [logfiles] você deve inserir a seguinte linha:



syslog.local0 => noticeFeito isso é só dar reload no logger



asterisk -rx â€logger reloadâ€



Para verificar se o fail2ban subiu, basta rodar o seguinte comando:



iptables -L -vAs seguintes linhas devem aparecer:



Chain fail2ban-ASTERISK (1 references)
 pkts bytes target     prot opt in     out     source               destination




6287K 1158M RETURN     all  –  any    any     anywhere             anywhereEstou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda não está banindo.




-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo



Phone:55 (61) 4063-7110 - Brasília



Phone:55 (62) 3416-7800 - Goiás   










_______________________________________________

KHOMP Inovação: External Board Series

Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.

Tenha a External Series Experience na sua aplicação. Visite www.khomp.com

_______________________________________________

DIGIVOICE  Fabricante de Placas de Voz e Channel Bank

20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM

Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br

________

YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.

email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011



______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org






_______________________________________________

KHOMP Inovação: External Board Series

Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.

Tenha a External Series Experience na sua aplicação. Visite www.khomp.com

_______________________________________________

DIGIVOICE  Fabricante de Placas de Voz e Channel Bank

20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM

Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br

________

YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.

email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011



______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org




-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo

Phone:55 (61) 4063-7110 - Brasília

Phone:55 (62) 3416-7800 - Goiás   








_______________________________________________

KHOMP Inovação: External Board Series

Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.

Tenha a External Series Experience na sua aplicação. Visite www.khomp.com

_______________________________________________

DIGIVOICE  Fabricante de Placas de Voz e Channel Bank

20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM

Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br

________

YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.

email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011

______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org




_______________________________________________
KHOMP Inova��o: External Board Series
M�dulos de 1/2 rack e 1U para todas as interfaces e solu��es Asterisk e FreeSWITCH.
Tenha a External Series Experience na sua aplica��o. Visite�www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experi�ncia com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
________
YEALINK: Telefones IP e V�deoPhones IP com o melhor custo/benef�cio do mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 		 	   		  
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120603/a792276d/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil