[AsteriskBrasil] AJUDA INVASÂO

Miqueias Queiroz Decco miqueiasdecco em hotmail.com
Segunda Julho 15 08:52:28 BRT 2013


Se o asterisk for 1.8 ou superior o fail2ban precisa ser configurado diferente.
Segue modelo de conf para CentOs:
vi /etc/fail2ban/filter.d/asterisk.conf# Fail2Ban configuration file### $Revision: 251 $#
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from# common.localbefore = common.conf

[Definition]
#_daemon = asterisk
# Option:  failregex# Notes.:  regex to match the password failures messages in the logfile. The#          host must be matched by a group named "host". The tag "<HOST>" can#          be used for standard IP/hostname matching and is only an alias for#          (?:::f{4,6}:)?(?P<host>\S+)# Values:  TEXT## Asterisk 1.8 uses Host:Port format which is reflected here
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Wrong password            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Username/auth name mismatch            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Device does not match ACL            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Peer is not supposed to register            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - ACL error (permit/deny)            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Device does not match ACL            NOTICE.* .*: Registration from '\".*\".*' failed for '<HOST>:.*' - No matching peer found            NOTICE.* .*: Registration from '\".*\".*' failed for '<HOST>:.*' - Wrong password            NOTICE.* <HOST> failed to authenticate as '.*'$            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*            NOTICE.* .*: <HOST> failed to authenticate as '.*'            NOTICE.* .*: <HOST> tried  to authenticate with nonexistent user '.*'            VERBOSE.*SIP/<HOST>-.*Received incoming SIP connection from unknown peer   # Option:  ignoreregex# Notes.:  regex to ignore. If this regex matches, the line is ignored.# Values:  TEXT#ignoreregex =
*******Copie as informações abaixo no arquivo /etc/fail2ban/jail.conf
vi /etc/fail2ban/jail.conf
[asterisk-iptables]# if more than 4 attempts are made within 6 hours, ban for 24 hoursenabled  = truefilter   = asteriskaction   = iptables-allports[name=ASTERISK, protocol=all]#              sendmail[name=ASTERISK, dest=you em yourmail.co.uk, sender=fail2ban em local.local]logpath  = /var/log/asterisk/messagesmaxretry = 4findtime = 21600bantime = 86400
****Iniciando o Fail2Ban


cp /usr/src/fail2ban/fail2ban-0.8.4/files/redhat-initd /etc/init.d/fail2ban
chmod 755 /etc/init.d/fail2ban
service fail2ban start
chkconfig fail2ban on

Miqueias Decco 

From: andreeliasmelo em gmail.com
Date: Mon, 15 Jul 2013 08:46:08 -0300
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] AJUDA INVASÂO

Amigo pra ganhar tempo vc pode mudar a porta 5060, para outra não padrão.
Isso vai levar o invasor a ter de rodar um port scan, não resolve mais você ganha tempo.





Em 15 de julho de 2013 08:40, asteriskdebian asterisk <asteriskdebian2013 em gmail.com> escreveu:


Alguem?


Em 15 de julho de 2013 00:09, asteriskdebian asterisk <asteriskdebian2013 em gmail.com> escreveu:



O allowguest=no já está!!
O que não entendo que ele não fica no log que o INVASOR se registrou em um ramal!! Pois eu não tenho nenhum contexto chamado DEFAULT!




E nos logs ele diz que a extensão não foi encontrada no contexto DEFAULT!!! por isso acho que ele não descobrio senhas de ramais pois se não ele iria dar o erro que ele não acho a extensão no MEU contexto entende??




Já desabilitei todas as portas possiveis deixei apenas 5060 e RTP mesmo!! isso que me encabula.. no LOG não aperece ele fazendo um LOGIN.. mais diz que que o IP:PORTA tentou discar!!

Ajudem-me!
Vocês tem um modelo de IPTABLES que faça isso liberer geral minha rede e libere só os meus endereços dos meus provedores?

Att
Luiz.

Em 14 de julho de 2013 23:54, Mike Tesliuk <mike em tesliuk.com> escreveu:




Veja se voce ta com allowguest no sip.conf , se vc bao tem ramais que se conectam de fora crie regras para liberar apenas os ips necessarios,  se vc precisa ter acesso externo entao use vpn, qq smartphobe e linux/windows/mac suportam pptp





Sent from my iPhone
On 14/07/2013, at 22:41, Eduard Silva Pinheiro <eduard em eduardsp.com> wrote:






  
    
  
  
    Luiz,

          

          Faz o contrario libera os ips que se conectam ao seu IPBX e
      bloqueio todo resto.

      

      -- 
Atenciosamente,

Eduard Silva Pinheiro

--------------------------------------------------------
Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE 
      

      

      On 14-07-2013 23:35, asteriskdebian asterisk wrote:

    
    
      É oque eu estou fazendo!! Mais isso não vai ajudar
        muito, pois toda vez os IPS mudam!!
        Teria outra solução??? Tens um modelo de firewall
          já implementado?
        

        
        Como posso "amarrar" apenas o IP e dominio de meu
          provedor para apenas ele ter ecesso ao fluxo RTP?
      
      

        

        Em 14 de julho de 2013 23:22, Érika
          Fernanda <suporte.erika em conectcor.com.br>
          escreveu:

          
             Se tiver mais algum
              firewall antes do teu ipbx acrescenta esses ips
              manualmente no iptables, se não tiver, acrescenta eles no
              fail2ban manualmente mesmo. 

              

              Att,

              

              Érika Fernanda.

              

              Em 14-07-2013 22:47, asteriskdebian asterisk escreveu:
              
                
                  
                    Pesoal, me ajudem!!
                      

                      
                      Hoje fui conferir os logs do meu server e
                        tinha essas tentativas de ligações!!
                      

                      
                      uso FAIL2BAN como firewall!!
                      

                      
                      
                        chan_sip.c: Call from '' (198.15.88.177:5092) to
                          extension '999970595622206' rejected because
                          extension not found in context 'default'.
                        [Jul 14 17:08:10] NOTICE[17600][C-0000001c]
                          chan_sip.c: Call from '' (198.15.88.177:5076) to
                          extension '900970595622206' rejected because
                          extension not found in context 'default'.
                        [Jul 14 17:08:11] NOTICE[17600][C-0000001d]
                          chan_sip.c: Call from '' (198.15.88.177:5085) to
                          extension '9000970595622206' rejected because
                          extension not found in context 'default'.
                        [Jul 14 17:08:12] NOTICE[17600][C-0000001e]
                          chan_sip.c: Call from '' (198.15.88.177:5076) to
                          extension '0000970595622206' rejected because
                          extension not found in context 'default'.
                        

                        
                        Pois as unicas portas abertas é 5060 e as
                          RTP (10.000 a 20.000!

                        
                        

                        
                        AJUDEM!!
                        

                        
                        Att
                        Luiz.
                      
                    
                  
                
                
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org




              
              

            
            

            _______________________________________________

            KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

            Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

            Intercomunicadores para acesso remoto via rede IP. Conheça
            em www.Khomp.com.

            _______________________________________________

            ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2,
            ISDN e SS7.

            Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

            Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

            _______________________________________________

            Para remover seu email desta lista, basta enviar um email em
            branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

          
        
        

      
      

      
      

      _______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org




    
    

    

    
  

_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;




Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.




Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________




Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org




_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org









_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org





_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conhe�a em www.Khomp.com.
_______________________________________________
ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank � Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 		 	   		  
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130715/2772c0bf/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil