[AsteriskBrasil] Fail2ban

Daniel Chaffer danielchaffer em gmail.com
Terça Junho 5 10:59:53 BRT 2012


Segue...

http://www.fail2ban.org/wiki/index.php/Asterisk


Vlw

Daniel Chaffer


Em 5 de junho de 2012 09:18, João Marcelo Queiroz <jmbq em bol.com.br>escreveu:

> Daniel,
>
> você poderia postar o link para essa informação? Gostaria de ter mais
> detalhes.
>
>
>
>
> Obrigado,
>
>
> João Marcelo
>
>
>
>
> Em 04/06/2012, às 21:00, Daniel Chaffer escreveu:
>
> Pessoal,
>
> Na página do fail2ban tem o porque de não bloquear.
> Dependendo da versão do Asterisk, o fail2ban não pega mais informações do
> log full, isso é bem interessante já que com isso você não terá problema
> com espaço em HD por conta de log.
> Para que ele funcione você deve ir ao logger.conf do asterisk e descometar
> a opção de gerar log no syslog, /var/log/syslog
> Se tiver criado o jail.conf e também o jail.local.conf e criado um filter
> asterisk dentro do filter.d /etc/fail2ban/filter.d/asterisk.conf
> Garanto que funciona.
>
> OK!
>
> Daniel Chaffer
>
>
> Em 4 de junho de 2012 19:44, Roger Pitigliani <rogerwinter em gmail.com>escreveu:
>
>> Alclicio,
>>
>> o Elastix 2.3 utiliza o Asterisk 1.8 (Se não for instalado via update
>> de versões anteriores)...
>> Então, no asterisk 1.8 o log gerado no arquivo
>> "/var/log/asterisk/full" está com uma modificação, pois junto com o
>> host vem a porta da conexão (<HOST:PORTA>).
>>
>> Para que funcione vc tem que alterar as expressões no seu
>> "/etc/fail2ban/filter.d/asterisk.conf" conforme abaixo:
>> Caso contrário o fail2ban roda, porém não faz nenhum tipo de bloqueio,
>> pois as linhas no log estão diferentes do que ele espera/procura.
>>
>> ==========
>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching
>> peer found
>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' -
>> Username/auth name mismatch
>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does
>> not match ACL
>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not
>> supposed to register
>> ==========
>>
>> Referência:
>> http://www.fail2ban.org/wiki/index.php/Talk:Asterisk
>>
>> Espero que o ajude.
>> Abraço
>>
>>
>> -
>> Roger Pitigliani
>> rogerwinter em gmail.com
>> Porto Alegre - RS
>>
>>
>>
>> Em 3 de junho de 2012 14:53, Alclicio Vieira <alclicio em gmail.com>
>> escreveu:
>> >
>> > Pessoal,
>> >
>> > Segui esse tutorial, porém ainda aparentemente ainda não está
>> funcionando o Fail2ban
>> >
>> >
>> >
>> ##########################################################################
>> >
>> > Configurando o Fail2Ban
>> >
>> > Agora nós precisamos fazer com que o fail2ban seja capaz de identificar
>> ataques contra o asterisk.
>> >
>> > Os arquivos de configuração ficam em: /etc/fail2ban/filter.d
>> >
>> > Vamos criar aqui um arquivo para o asterisk.
>> >
>> > #touch asterisk.conf
>> >
>> > Este arquivo deve conter o seguinte:
>> >
>> > [INCLUDES]
>> >
>> > [Definition]
>> > failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>> Wrong password
>> >             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>> No matching peer found
>> >             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>> Username/auth name mismatch
>> >             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>> Device does not match ACL
>> >             NOTICE.* <HOST> failed to authenticate as ‘.*’$
>> >             NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)
>> >             NOTICE.* .*: Host <HOST> failed MD5 authentication for ‘.*’
>> (.*)
>> >             NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
>> > ignoreregex =
>> >
>> > No aquivo /etc/fail2ban/jail.conf  inclua as seguintes linhas:
>> >
>> > [asterisk-iptables]
>> >
>> > enabled  = true
>> > filter   = asterisk
>> > action   = iptables-allports[name=ASTERISK, protocol=all]
>> >            sendmail-whois[name=ASTERISK, dest=root, sender=
>> alclicio em gmail.com] #aqui devo colocar meu email ?
>> > logpath  = /var/log/asterisk/full
>> > maxretry = 3
>> > bantime = 259200
>> > Maxretry determina a quantidade de erros que o fail2ban vai aceitar de
>> um determinado host antes de bani-lo.
>> >
>> > O bantime é em segundos, portanto neste caso qualquer tentativa de
>> ataque ao asterisk será banida por 72 horas.
>> >
>> > Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT], no
>> paramento ignoreip informe seu ip.
>> >
>> > Edite o /etc/asterisk/logger.conf e defina o dateformat da seguinte
>> forma.
>> >
>> >  [general]
>> > dateformat=%F %T
>> >
>> > Na sessão [logfiles] você deve inserir a seguinte linha:
>> >
>> > syslog.local0 => notice
>> >
>> > Feito isso é só dar reload no logger
>> >
>> > asterisk -rx ”logger reload”
>> >
>> > Para verificar se o fail2ban subiu, basta rodar o seguinte comando:
>> >
>> > iptables -L -v
>> >
>> > As seguintes linhas devem aparecer:
>> >
>> > Chain fail2ban-ASTERISK (1 references)
>> >  pkts bytes target     prot opt in     out     source
>> destination
>> > 6287K 1158M RETURN     all  –  any    any     anywhere
>> anywhere
>> >
>> >
>> > Estou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei
>> autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda
>> não está banindo.
>> >
>> > --
>> > ALCLICIO VIEIRA,
>> > ITIL® V3 Certification,
>> > Crea-DF 10476 Telecom
>> >
>> > Phone:55 (11) 3509-2505 - São Paulo
>> > Phone:55 (61) 4063-7110 - Brasília
>> > Phone:55 (62) 3416-7800 - Goiás
>> >
>> >
>> >
>> >
>> > _______________________________________________
>> > KHOMP Inovação: External Board Series
>> > Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>> FreeSWITCH.
>> > Tenha a External Series Experience na sua aplicação. Visite
>> www.khomp.com
>> > _______________________________________________
>> > DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>> > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>> > Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>> www.digivoice.com.br
>> > ________
>> > YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> > email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> > ______________________________________________
>> > Para remover seu email desta lista, basta enviar um email em branco
>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>>
>> --
>> --
>> Roger Pitigliani
>> rogerwinter em gmail.com
>> Skype: roger.pitigliani
>> _______________________________________________
>> KHOMP Inovação: External Board Series
>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>> FreeSWITCH.
>> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
>> _______________________________________________
>> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>> www.digivoice.com.br
>> ________
>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
> _______________________________________________
> KHOMP Inovação: External Board Series
> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
> FreeSWITCH.
> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
> _______________________________________________
> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
> www.digivoice.com.br
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP Inovação: External Board Series
> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
> FreeSWITCH.
> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
> _______________________________________________
> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
> www.digivoice.com.br
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120605/f68d8632/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil