[AsteriskBrasil] RES: Fail2ban

Bruno Pavan brunopavan em grupolink.com.br
Quarta Junho 6 11:34:50 BRT 2012


Outro ponto é nunca criar nada no contexto default, sempre crie outros contextos para sair chamada e nunca use o _X., pq da abertura para discar o que quiser ...

 

Att,

Bruno Pavan

Diretor Técnico – Grupo Link

(11) 3522-8109

 

De: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Mike Tesliuk
Enviada em: quarta-feira, 6 de junho de 2012 11:00
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] Fail2ban

 

na verdade para ataques o fail2ban é bem util, mas se por um acaso alguem conseguir acesso ao sevidor antes do bloqueio ele poderá fazer as chamadas e gerar um bom prejuizo financeiro, então scripts para tentar achar chamadas fora de padrão é interessante, você conhecendo o perfil dos usuários você pode definir um padrão aceitavel pras chamadas, ex: se você tem um pabx, e a media de chamadas é de 3 a 4 chamadas simultaneas com media de 5 minutos, com certeza 30 chamadas simultaneas em up a mais de 10 minutos é fora de padrão, ou então o disparo de 300 chamadas em menos de 1 minutos, este tipo de coisa


Em 06-06-2012 10:49, Hudson Cardoso escreveu: 


Achei isso tambem.... Falso senso de seguranca.... 

http://forums.asterisk.org/viewtopic.php?p=159984 

 

Vou fazer meu proprio fail2ban

 

Hudson 
048 8413 7000 

048 3039 8899 opcao 2

www.easyteltelecom.com.br

 

Para quem nao cre, nenhuma prova converte,

Para aquele que cre, nenhuma prova precisa.

 

  _____  

Date: Mon, 4 Jun 2012 21:02:09 -0300
From: alclicio em gmail.com
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Fail2ban

Perfeito cara, 

 

Só foi alterar isso e tudo certo veja o resultado e email no email do servidor que recebi

 

=============================================================

Hi,

The IP 201.47.170.59 has just been banned by Fail2Ban after
4 attempts against ASTERISK.


Here are more information about 201.47.170.59 <http://201.47.170.59/> :



Regards,

Fail2Ban 

=============================================================

 

 

 

\0/ ..... Valeu

 

Em 4 de junho de 2012 19:44, Roger Pitigliani <rogerwinter em gmail.com> escreveu:

Alclicio,

o Elastix 2.3 utiliza o Asterisk 1.8 (Se não for instalado via update
de versões anteriores)...
Então, no asterisk 1.8 o log gerado no arquivo
"/var/log/asterisk/full" está com uma modificação, pois junto com o
host vem a porta da conexão (<HOST:PORTA>).

Para que funcione vc tem que alterar as expressões no seu
"/etc/fail2ban/filter.d/asterisk.conf" conforme abaixo:
Caso contrário o fail2ban roda, porém não faz nenhum tipo de bloqueio,
pois as linhas no log estão diferentes do que ele espera/procura.

==========
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching
peer found
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' -
Username/auth name mismatch
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does
not match ACL
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not
supposed to register
==========

Referência:
http://www.fail2ban.org/wiki/index.php/Talk:Asterisk

Espero que o ajude.
Abraço


-
Roger Pitigliani
rogerwinter em gmail.com
Porto Alegre - RS




Em 3 de junho de 2012 14:53, Alclicio Vieira <alclicio em gmail.com> escreveu:
>

> Pessoal,
>
> Segui esse tutorial, porém ainda aparentemente ainda não está funcionando o Fail2ban
>
>
> ##########################################################################
>
> Configurando o Fail2Ban
>
> Agora nós precisamos fazer com que o fail2ban seja capaz de identificar ataques contra o asterisk.
>
> Os arquivos de configuração ficam em: /etc/fail2ban/filter.d
>
> Vamos criar aqui um arquivo para o asterisk.
>
> #touch asterisk.conf
>
> Este arquivo deve conter o seguinte:
>
> [INCLUDES]
>
> [Definition]
> failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Wrong password
>             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – No matching peer found
>             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Username/auth name mismatch
>             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Device does not match ACL
>             NOTICE.* <HOST> failed to authenticate as ‘.*’$
>             NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)
>             NOTICE.* .*: Host <HOST> failed MD5 authentication for ‘.*’ (.*)
>             NOTICE.* .*: Failed to authenticate user  <mailto:.*@%3cHOST%3e.*> .*@<HOST>.*
> ignoreregex =
>
> No aquivo /etc/fail2ban/jail.conf  inclua as seguintes linhas:
>
> [asterisk-iptables]
>
> enabled  = true
> filter   = asterisk
> action   = iptables-allports[name=ASTERISK, protocol=all]
>            sendmail-whois[name=ASTERISK, dest=root, sender=alclicio em gmail.com] #aqui devo colocar meu email ?
> logpath  = /var/log/asterisk/full
> maxretry = 3
> bantime = 259200
> Maxretry determina a quantidade de erros que o fail2ban vai aceitar de um determinado host antes de bani-lo.
>
> O bantime é em segundos, portanto neste caso qualquer tentativa de ataque ao asterisk será banida por 72 horas.
>
> Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT], no paramento ignoreip informe seu ip.
>
> Edite o /etc/asterisk/logger.conf e defina o dateformat da seguinte forma.
>
>  [general]
> dateformat=%F %T
>
> Na sessão [logfiles] você deve inserir a seguinte linha:
>
> syslog.local0 => notice
>
> Feito isso é só dar reload no logger
>
> asterisk -rx â€logger reloadâ€
>
> Para verificar se o fail2ban subiu, basta rodar o seguinte comando:
>
> iptables -L -v
>
> As seguintes linhas devem aparecer:
>
> Chain fail2ban-ASTERISK (1 references)
>  pkts bytes target     prot opt in     out     source               destination
> 6287K 1158M RETURN     all  –  any    any     anywhere             anywhere
>
>
> Estou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda não está banindo.
>
> --
> ALCLICIO VIEIRA,
> ITIL® V3 Certification,
> Crea-DF 10476 Telecom
>
> Phone:55 (11) 3509-2505 - São Paulo
> Phone:55 (61) 4063-7110 - Brasília
> Phone:55 (62) 3416-7800 - Goiás
>
>
>
>

> _______________________________________________
> KHOMP Inovação: External Board Series
> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.
> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
> _______________________________________________
> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org




--

--
Roger Pitigliani
rogerwinter em gmail.com
Skype: roger.pitigliani

_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org





 

-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo
Phone:55 (61) 4063-7110 - Brasília

Phone:55 (62) 3416-7800 - Goiás   

 

 


_______________________________________________ KHOMP Inova��o: External Board Series M�dulos de 1/2 rack e 1U para todas as interfaces e solu��es Asterisk e FreeSWITCH. Tenha a External Series Experience na sua aplica��o. Visite�www.khomp.com _______________________________________________ DIGIVOICE Fabricante de Placas de Voz e Channel Bank 20 anos de experi�ncia com E1(R2/ISDN), FXS, FXO e GSM Centro Treinamento - Curso de PABX IP - Asterisk - Site www.digivoice.com.br ________ YEALINK: Telefones IP e V�deoPhones IP com o melhor custo/benef�cio do mercado. email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org






_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

 

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120606/6e863bae/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil