[AsteriskBrasil] Fail2ban

Alclicio Vieira alclicio em gmail.com
Quarta Junho 6 01:29:41 BRT 2012 

Ai galera,

um engracadinho tentou invadir meu server e olha o que aconteceu com ele!

###############################################################
Hi,

The IP 89.200.170.112 has just been banned by Fail2Ban after
30 attempts against ASTERISK.

Here are more information about 89.200.170.112:



Regards,

Fail2Ban

###############################################################




Em 5 de junho de 2012 10:59, Daniel Chaffer <danielchaffer em gmail.com>escreveu:

> Segue...
>
> http://www.fail2ban.org/wiki/index.php/Asterisk
>
>
> Vlw
>
> Daniel Chaffer
>
>
> Em 5 de junho de 2012 09:18, João Marcelo Queiroz <jmbq em bol.com.br>escreveu:
>
> Daniel,
>>
>> você poderia postar o link para essa informação? Gostaria de ter mais
>> detalhes.
>>
>>
>>
>>
>> Obrigado,
>>
>>
>> João Marcelo
>>
>>
>>
>>
>> Em 04/06/2012, às 21:00, Daniel Chaffer escreveu:
>>
>> Pessoal,
>>
>> Na página do fail2ban tem o porque de não bloquear.
>> Dependendo da versão do Asterisk, o fail2ban não pega mais informações do
>> log full, isso é bem interessante já que com isso você não terá problema
>> com espaço em HD por conta de log.
>> Para que ele funcione você deve ir ao logger.conf do asterisk e
>> descometar a opção de gerar log no syslog, /var/log/syslog
>> Se tiver criado o jail.conf e também o jail.local.conf e criado um filter
>> asterisk dentro do filter.d /etc/fail2ban/filter.d/asterisk.conf
>> Garanto que funciona.
>>
>> OK!
>>
>> Daniel Chaffer
>>
>>
>> Em 4 de junho de 2012 19:44, Roger Pitigliani <rogerwinter em gmail.com>escreveu:
>>
>>> Alclicio,
>>>
>>> o Elastix 2.3 utiliza o Asterisk 1.8 (Se não for instalado via update
>>> de versões anteriores)...
>>> Então, no asterisk 1.8 o log gerado no arquivo
>>> "/var/log/asterisk/full" está com uma modificação, pois junto com o
>>> host vem a porta da conexão (<HOST:PORTA>).
>>>
>>> Para que funcione vc tem que alterar as expressões no seu
>>> "/etc/fail2ban/filter.d/asterisk.conf" conforme abaixo:
>>> Caso contrário o fail2ban roda, porém não faz nenhum tipo de bloqueio,
>>> pois as linhas no log estão diferentes do que ele espera/procura.
>>>
>>> ==========
>>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
>>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching
>>> peer found
>>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' -
>>> Username/auth name mismatch
>>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does
>>> not match ACL
>>> Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not
>>> supposed to register
>>> ==========
>>>
>>> Referência:
>>> http://www.fail2ban.org/wiki/index.php/Talk:Asterisk
>>>
>>> Espero que o ajude.
>>> Abraço
>>>
>>>
>>> -
>>> Roger Pitigliani
>>> rogerwinter em gmail.com
>>> Porto Alegre - RS
>>>
>>>
>>>
>>> Em 3 de junho de 2012 14:53, Alclicio Vieira <alclicio em gmail.com>
>>> escreveu:
>>> >
>>> > Pessoal,
>>> >
>>> > Segui esse tutorial, porém ainda aparentemente ainda não está
>>> funcionando o Fail2ban
>>> >
>>> >
>>> >
>>> ##########################################################################
>>> >
>>> > Configurando o Fail2Ban
>>> >
>>> > Agora nós precisamos fazer com que o fail2ban seja capaz de
>>> identificar ataques contra o asterisk.
>>> >
>>> > Os arquivos de configuração ficam em: /etc/fail2ban/filter.d
>>> >
>>> > Vamos criar aqui um arquivo para o asterisk.
>>> >
>>> > #touch asterisk.conf
>>> >
>>> > Este arquivo deve conter o seguinte:
>>> >
>>> > [INCLUDES]
>>> >
>>> > [Definition]
>>> > failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>>> Wrong password
>>> >             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>>> No matching peer found
>>> >             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>>> Username/auth name mismatch
>>> >             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>>> Device does not match ACL
>>> >             NOTICE.* <HOST> failed to authenticate as ‘.*’$
>>> >             NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)
>>> >             NOTICE.* .*: Host <HOST> failed MD5 authentication for
>>> ‘.*’ (.*)
>>> >             NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
>>> > ignoreregex =
>>> >
>>> > No aquivo /etc/fail2ban/jail.conf  inclua as seguintes linhas:
>>> >
>>> > [asterisk-iptables]
>>> >
>>> > enabled  = true
>>> > filter   = asterisk
>>> > action   = iptables-allports[name=ASTERISK, protocol=all]
>>> >            sendmail-whois[name=ASTERISK, dest=root, sender=
>>> alclicio em gmail.com] #aqui devo colocar meu email ?
>>> > logpath  = /var/log/asterisk/full
>>> > maxretry = 3
>>> > bantime = 259200
>>> > Maxretry determina a quantidade de erros que o fail2ban vai aceitar de
>>> um determinado host antes de bani-lo.
>>> >
>>> > O bantime é em segundos, portanto neste caso qualquer tentativa de
>>> ataque ao asterisk será banida por 72 horas.
>>> >
>>> > Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT],
>>> no paramento ignoreip informe seu ip.
>>> >
>>> > Edite o /etc/asterisk/logger.conf e defina o dateformat da seguinte
>>> forma.
>>> >
>>> >  [general]
>>> > dateformat=%F %T
>>> >
>>> > Na sessão [logfiles] você deve inserir a seguinte linha:
>>> >
>>> > syslog.local0 => notice
>>> >
>>> > Feito isso é só dar reload no logger
>>> >
>>> > asterisk -rx ”logger reload”
>>> >
>>> > Para verificar se o fail2ban subiu, basta rodar o seguinte comando:
>>> >
>>> > iptables -L -v
>>> >
>>> > As seguintes linhas devem aparecer:
>>> >
>>> > Chain fail2ban-ASTERISK (1 references)
>>> >  pkts bytes target     prot opt in     out     source
>>> destination
>>> > 6287K 1158M RETURN     all  –  any    any     anywhere
>>> anywhere
>>> >
>>> >
>>> > Estou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei
>>> autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda
>>> não está banindo.
>>> >
>>> > --
>>> > ALCLICIO VIEIRA,
>>> > ITIL® V3 Certification,
>>> > Crea-DF 10476 Telecom
>>> >
>>> > Phone:55 (11) 3509-2505 - São Paulo
>>> > Phone:55 (61) 4063-7110 - Brasília
>>> > Phone:55 (62) 3416-7800 - Goiás
>>> >
>>> >
>>> >
>>> >
>>> > _______________________________________________
>>> > KHOMP Inovação: External Board Series
>>> > Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk
>>> e FreeSWITCH.
>>> > Tenha a External Series Experience na sua aplicação. Visite
>>> www.khomp.com
>>> > _______________________________________________
>>> > DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>>> > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>> > Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>>> www.digivoice.com.br
>>> > ________
>>> > YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>>> mercado.
>>> > email: yealink em commlogik.com.br | www.commlogik.com.br | (11)
>>> 5503-1011
>>> > ______________________________________________
>>> > Para remover seu email desta lista, basta enviar um email em branco
>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>>
>>> --
>>> --
>>> Roger Pitigliani
>>> rogerwinter em gmail.com
>>> Skype: roger.pitigliani
>>> _______________________________________________
>>> KHOMP Inovação: External Board Series
>>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>>> FreeSWITCH.
>>> Tenha a External Series Experience na sua aplicação. Visite
>>> www.khomp.com
>>> _______________________________________________
>>> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>>> www.digivoice.com.br
>>> ________
>>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>>> mercado.
>>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>>> ______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>> _______________________________________________
>> KHOMP Inovação: External Board Series
>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>> FreeSWITCH.
>> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
>> _______________________________________________
>> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>> www.digivoice.com.br
>> ________
>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP Inovação: External Board Series
>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>> FreeSWITCH.
>> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
>> _______________________________________________
>> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>> www.digivoice.com.br
>> ________
>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP Inovação: External Board Series
> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
> FreeSWITCH.
> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
> _______________________________________________
> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
> www.digivoice.com.br
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo
Phone:55 (61) 4063-7110 - Brasília
Phone:55 (62) 3416-7800 - Goiás
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120606/239051f2/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil