[AsteriskBrasil] AJUDA INVASÂO
Miqueias Queiroz Decco
miqueiasdecco em hotmail.com
Segunda Julho 15 08:52:28 BRT 2013
Se o asterisk for 1.8 ou superior o fail2ban precisa ser configurado diferente.
Segue modelo de conf para CentOs:
vi /etc/fail2ban/filter.d/asterisk.conf# Fail2Ban configuration file### $Revision: 251 $#
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from# common.localbefore = common.conf
[Definition]
#_daemon = asterisk
# Option: failregex# Notes.: regex to match the password failures messages in the logfile. The# host must be matched by a group named "host". The tag "<HOST>" can# be used for standard IP/hostname matching and is only an alias for# (?:::f{4,6}:)?(?P<host>\S+)# Values: TEXT## Asterisk 1.8 uses Host:Port format which is reflected here
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Wrong password NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Username/auth name mismatch NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Device does not match ACL NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Peer is not supposed to register NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - ACL error (permit/deny) NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Device does not match ACL NOTICE.* .*: Registration from '\".*\".*' failed for '<HOST>:.*' - No matching peer found NOTICE.* .*: Registration from '\".*\".*' failed for '<HOST>:.*' - Wrong password NOTICE.* <HOST> failed to authenticate as '.*'$ NOTICE.* .*: No registration for peer '.*' \(from <HOST>\) NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*) NOTICE.* .*: Failed to authenticate user .*@<HOST>.* NOTICE.* .*: <HOST> failed to authenticate as '.*' NOTICE.* .*: <HOST> tried to authenticate with nonexistent user '.*' VERBOSE.*SIP/<HOST>-.*Received incoming SIP connection from unknown peer # Option: ignoreregex# Notes.: regex to ignore. If this regex matches, the line is ignored.# Values: TEXT#ignoreregex =
*******Copie as informações abaixo no arquivo /etc/fail2ban/jail.conf
vi /etc/fail2ban/jail.conf
[asterisk-iptables]# if more than 4 attempts are made within 6 hours, ban for 24 hoursenabled = truefilter = asteriskaction = iptables-allports[name=ASTERISK, protocol=all]# sendmail[name=ASTERISK, dest=you em yourmail.co.uk, sender=fail2ban em local.local]logpath = /var/log/asterisk/messagesmaxretry = 4findtime = 21600bantime = 86400
****Iniciando o Fail2Ban
cp /usr/src/fail2ban/fail2ban-0.8.4/files/redhat-initd /etc/init.d/fail2ban
chmod 755 /etc/init.d/fail2ban
service fail2ban start
chkconfig fail2ban on
Miqueias Decco
From: andreeliasmelo em gmail.com
Date: Mon, 15 Jul 2013 08:46:08 -0300
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] AJUDA INVASÂO
Amigo pra ganhar tempo vc pode mudar a porta 5060, para outra não padrão.
Isso vai levar o invasor a ter de rodar um port scan, não resolve mais você ganha tempo.
Em 15 de julho de 2013 08:40, asteriskdebian asterisk <asteriskdebian2013 em gmail.com> escreveu:
Alguem?
Em 15 de julho de 2013 00:09, asteriskdebian asterisk <asteriskdebian2013 em gmail.com> escreveu:
O allowguest=no já está!!
O que não entendo que ele não fica no log que o INVASOR se registrou em um ramal!! Pois eu não tenho nenhum contexto chamado DEFAULT!
E nos logs ele diz que a extensão não foi encontrada no contexto DEFAULT!!! por isso acho que ele não descobrio senhas de ramais pois se não ele iria dar o erro que ele não acho a extensão no MEU contexto entende??
Já desabilitei todas as portas possiveis deixei apenas 5060 e RTP mesmo!! isso que me encabula.. no LOG não aperece ele fazendo um LOGIN.. mais diz que que o IP:PORTA tentou discar!!
Ajudem-me!
Vocês tem um modelo de IPTABLES que faça isso liberer geral minha rede e libere só os meus endereços dos meus provedores?
Att
Luiz.
Em 14 de julho de 2013 23:54, Mike Tesliuk <mike em tesliuk.com> escreveu:
Veja se voce ta com allowguest no sip.conf , se vc bao tem ramais que se conectam de fora crie regras para liberar apenas os ips necessarios, se vc precisa ter acesso externo entao use vpn, qq smartphobe e linux/windows/mac suportam pptp
Sent from my iPhone
On 14/07/2013, at 22:41, Eduard Silva Pinheiro <eduard em eduardsp.com> wrote:
Luiz,
Faz o contrario libera os ips que se conectam ao seu IPBX e
bloqueio todo resto.
--
Atenciosamente,
Eduard Silva Pinheiro
--------------------------------------------------------
Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE
On 14-07-2013 23:35, asteriskdebian asterisk wrote:
É oque eu estou fazendo!! Mais isso não vai ajudar
muito, pois toda vez os IPS mudam!!
Teria outra solução??? Tens um modelo de firewall
já implementado?
Como posso "amarrar" apenas o IP e dominio de meu
provedor para apenas ele ter ecesso ao fluxo RTP?
Em 14 de julho de 2013 23:22, Érika
Fernanda <suporte.erika em conectcor.com.br>
escreveu:
Se tiver mais algum
firewall antes do teu ipbx acrescenta esses ips
manualmente no iptables, se não tiver, acrescenta eles no
fail2ban manualmente mesmo.
Att,
Érika Fernanda.
Em 14-07-2013 22:47, asteriskdebian asterisk escreveu:
Pesoal, me ajudem!!
Hoje fui conferir os logs do meu server e
tinha essas tentativas de ligações!!
uso FAIL2BAN como firewall!!
chan_sip.c: Call from '' (198.15.88.177:5092) to
extension '999970595622206' rejected because
extension not found in context 'default'.
[Jul 14 17:08:10] NOTICE[17600][C-0000001c]
chan_sip.c: Call from '' (198.15.88.177:5076) to
extension '900970595622206' rejected because
extension not found in context 'default'.
[Jul 14 17:08:11] NOTICE[17600][C-0000001d]
chan_sip.c: Call from '' (198.15.88.177:5085) to
extension '9000970595622206' rejected because
extension not found in context 'default'.
[Jul 14 17:08:12] NOTICE[17600][C-0000001e]
chan_sip.c: Call from '' (198.15.88.177:5076) to
extension '0000970595622206' rejected because
extension not found in context 'default'.
Pois as unicas portas abertas é 5060 e as
RTP (10.000 a 20.000!
AJUDEM!!
Att
Luiz.
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça
em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2,
ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em
branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conhe�a em www.Khomp.com.
_______________________________________________
ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank � Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130715/2772c0bf/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil