<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
{font-family:Consolas;
panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";
color:black;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p
{mso-style-priority:99;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:12.0pt;
font-family:"Times New Roman","serif";
color:black;}
pre
{mso-style-priority:99;
mso-style-link:"Pré-formatação HTML Char";
margin:0cm;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Courier New";
color:black;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Texto de balão Char";
margin:0cm;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";
color:black;}
span.Pr-formataoHTMLChar
{mso-style-name:"Pré-formatação HTML Char";
mso-style-priority:99;
mso-style-link:"Pré-formatação HTML";
font-family:"Consolas","serif";
color:black;}
span.EstiloDeEmail20
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
span.TextodebaloChar
{mso-style-name:"Texto de balão Char";
mso-style-priority:99;
mso-style-link:"Texto de balão";
font-family:"Tahoma","sans-serif";
color:black;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=PT-BR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Pode editar Diretamente nas configurações do fail2ban em /etc/fail2ban. Procure no arquivo jail.conf a TAG sendmail-whois[name=XXXXXXXXX, dest=e-mail_do_destinatario, sender=e-mail_do_remetente]<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Basta vc editar ao seu gosto. Em nosso caso inserimos no name=nome ou IP do servidor, então sabemos qual máquina houve a tentativa de invasão.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Atenciosamente;<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><p class=MsoNormal><b><i><span style='font-family:"Calibri","sans-serif";color:#943634'>Fernando de Meira Lins</span></i></b><b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#943634'> </span></b><b><span style='font-size:10.0pt;font-family:"Calibri","sans-serif";color:#943634'><o:p></o:p></span></b></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p></div><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>De:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> asteriskbrasil-bounces@listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org] <b>Em nome de </b>Wagner<br><b>Enviada em:</b> segunda-feira, 30 de janeiro de 2012 12:09<br><b>Para:</b> asteriskbrasil@listas.asteriskbrasil.org<br><b>Assunto:</b> Re: [AsteriskBrasil] RES: Invasão<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Aproveitando o tópico, estou instalando o Fail2Ban em alguns clientes, esta funcionando perfeitamente o iptables esta banindo as tentativas de invasões e estou recebendo os e-mails das verificações do Fail2Ban. Mas me veio a pergunta o que mais é possível fazer com o Fail2Ban, por exemplo customizar os e-mail's das verificações de banimento assim posso saber de qual cliente veio o e-mail, tentei editar o mail.conf e o mail-whois.conf e não obtive sucesso.<br><br>Alguém sabe como modificar isto?<br><br>Em 30-01-2012 11:01, Thiago Bruni Tawil escreveu: <o:p></o:p></p><p>na vdd o fail2ban vc instala no SO, ele tambem analiza outris logs, voce soh precisa definir as regras que ele vai seguir para bloquear...<o:p></o:p></p><div><p class=MsoNormal>Em 30/01/2012 08:50, "Alejandro Flores" <<a href="mailto:alejandrorflores@gmail.com">alejandrorflores@gmail.com</a>> escreveu:<o:p></o:p></p><p class=MsoNormal>Marco,<br><br>A senha do freepbx ( Console do Elastix -> PBX -> Unembed Freepbx )<br>você não altera na instalação, uma falha grave que ja foi corrigida<br>nas versões superiores.<br>O fail2ban é no asterisk, pois ele fica analisando os logs e<br>verificando as falhas de conexão, para quando detectar, bloquear<br>imediatamente o acesso.<br><br>Abraço!<br><br>> Bom dia Alejandro.<br>> As senhas pré-definidas já foram alteradas na instalação.<br>> A senha é forte, com números, letras e caracteres especiais.<br>> Realmente a porta 443 estava aberta (fechei), mas a 80 fechada.<br>> Os ramais foram configurados com o mesmo padrão de senhas.<br>> Quando ao fail2ban, devo instalá-lo no meu firewall ou no asterisk?<br>><br>> Obrigado<br>><br>> Marco Antonio<br>><br>><br>><br>><br>> -----Mensagem original-----<br>> De: <a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org">asteriskbrasil-bounces@listas.asteriskbrasil.org</a><br>> [mailto:<a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org">asteriskbrasil-bounces@listas.asteriskbrasil.org</a>] Em nome de<br>> Alejandro Flores<br>> Enviada em: segunda-feira, 30 de janeiro de 2012 09:16<br>> Para: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org">asteriskbrasil@listas.asteriskbrasil.org</a><br>> Assunto: Re: [AsteriskBrasil] Invasão<br>><br>> Marco,<br>><br>> O elastix 1.6 utiliza senhas pré-configuradas, ou seja, todo mundo<br>> sabe quais são.<br>> Mesmo que você tenha alterado a senha do admin da console, ainda tem a<br>> senha do freepbx, que provavelmente é por onde eles se aproveitaram.<br>> Sem falar nas vulnerabilidades da versão ja difundidas.<br>> Sugiro que você feche imediatamente o acesso externo a console do<br>> elastix, portas 80/tcp e 443/tcp.<br>> Utilize o fail2ban pra bloquear os ips das tentativas inválidas de conexão.<br>> Use senhas fortes nos ramais.<br>> Enfim, tem muitas dicas de segurança na lista, da uma olhada no histórico.<br>><br>> Abraço!<br>><br>><br>> 2012/1/30 Marco Antonio (TRG Tecnologia) <<a href="mailto:marco@trg.com.br">marco@trg.com.br</a>>:<br>>> Bom dia Lista...<br>>><br>>> Tenho um Elastix 1.6.3 e não com muita freqüência, esporadicamente vejo<br>> que<br>>> criam ramais IAX e SIP.<br>>><br>>> IAX não mais pois fechei as portas, porem como preciso de SIP externo,<br>>> continuam em cima.<br>>><br>>> Como devo fazer para bloquear as invasões?<br>>><br>>> Preciso ter os ramais externos. Não consigo fazer por VPN pois<br>> externamente<br>>> são apenas aparelhos IP’s.<br>>><br>>> Alguma dica?<br>>><br>>><br>>><br>>> Abraços<br>>><br>>><br>>><br>>> Marco Antonio<br>>><br>>><br>>><br>>><br>>><br>>><br>>><br>>><br>>> _______________________________________________<br>>> KHOMP ::: External Series Experience :::<br>>> Um novo conceito para o mercado de aplicações que vai<br>>> fazer você pensar fora da caixa. Aguarde este lançamento<br>>> _______________________________________________<br>>> DIGIVOICE: Lider no mercado de placas para Asterisk<br>>> Único fabricante com Centro de Treinamento especializado.<br>>> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>>> <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>>> ________<br>>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do<br>>> mercado.<br>>> email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | (11) 5503-1011<br>>> ______________________________________________<br>>> Para remover seu email desta lista, basta enviar um email em branco para<br>>> <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>><br>><br>><br>> --<br>><br>> Alejandro Flores<br>> <a href="http://www.triforsec.com.br/" target="_blank">http://www.triforsec.com.br/</a><br>> _______________________________________________<br>> KHOMP ::: External Series Experience :::<br>> Um novo conceito para o mercado de aplicações que vai<br>> fazer você pensar fora da caixa. Aguarde este lançamento<br>> _______________________________________________<br>> DIGIVOICE: Lider no mercado de placas para Asterisk<br>> Único fabricante com Centro de Treinamento especializado.<br>> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>> <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>> ________<br>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do<br>> mercado.<br>> email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | (11) 5503-1011<br>> ______________________________________________<br>> Para remover seu email desta lista, basta enviar um email em branco para<br>> <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>><br>> _______________________________________________<br>> KHOMP ::: External Series Experience :::<br>> Um novo conceito para o mercado de aplicações que vai<br>> fazer você pensar fora da caixa. Aguarde este lançamento<br>> _______________________________________________<br>> DIGIVOICE: Lider no mercado de placas para Asterisk<br>> Único fabricante com Centro de Treinamento especializado.<br>> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>> <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>> ________<br>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>> email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | (11) 5503-1011<br>> ______________________________________________<br>> Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br><br><br><br>--<br><br>Alejandro Flores<br><a href="http://www.triforsec.com.br/" target="_blank">http://www.triforsec.com.br/</a><br>_______________________________________________<br>KHOMP ::: External Series Experience :::<br>Um novo conceito para o mercado de aplicações que vai<br>fazer você pensar fora da caixa. Aguarde este lançamento<br>_______________________________________________<br>DIGIVOICE: Lider no mercado de placas para Asterisk<br>Único fabricante com Centro de Treinamento especializado.<br>LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br><a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>________<br>YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | (11) 5503-1011<br>______________________________________________<br>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><o:p></o:p></p></div><p class=MsoNormal><br><br><br><o:p></o:p></p><pre>_______________________________________________<o:p></o:p></pre><pre>KHOMP ::: External Series Experience :::<o:p></o:p></pre><pre>Um novo conceito para o mercado de aplicações que vai<o:p></o:p></pre><pre>fazer você pensar fora da caixa. Aguarde este lançamento<o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>DIGIVOICE: Lider no mercado de placas para Asterisk<o:p></o:p></pre><pre>Único fabricante com Centro de Treinamento especializado.<o:p></o:p></pre><pre>LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. <o:p></o:p></pre><pre><a href="http://www.digivoice.com.br">www.digivoice.com.br</a> ou (11)3016-5200.<o:p></o:p></pre><pre>________<o:p></o:p></pre><pre>YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<o:p></o:p></pre><pre>email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br">www.commlogik.com.br</a> | (11) 5503-1011<o:p></o:p></pre><pre>______________________________________________<o:p></o:p></pre><pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><o:p></o:p></pre></div></body></html>