<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
na verdade para ataques o fail2ban é bem util, mas se por um acaso
alguem conseguir acesso ao sevidor antes do bloqueio ele poderá
fazer as chamadas e gerar um bom prejuizo financeiro, então scripts
para tentar achar chamadas fora de padrão é interessante, você
conhecendo o perfil dos usuários você pode definir um padrão
aceitavel pras chamadas, ex: se você tem um pabx, e a media de
chamadas é de 3 a 4 chamadas simultaneas com media de 5 minutos, com
certeza 30 chamadas simultaneas em up a mais de 10 minutos é fora de
padrão, ou então o disparo de 300 chamadas em menos de 1 minutos,
este tipo de coisa<br>
<br>
<br>
Em 06-06-2012 10:49, Hudson Cardoso escreveu:
<blockquote cite="mid:SNT142-W639C93D0EBE5178687F7EDA30D0@phx.gbl"
type="cite">
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style>
<div dir="ltr">
<font style="font-size:12pt;" size="3"><br id="FontBreak">
</font>Achei isso tambem.... Falso senso de seguranca....
<div><a moz-do-not-send="true"
href="http://forums.asterisk.org/viewtopic.php?p=159984">http://forums.asterisk.org/viewtopic.php?p=159984</a> </div>
<div><br>
</div>
<div>Vou fazer meu proprio fail2ban<br>
<br>
<div><br>
</div>
Hudson <br>
048 8413 7000
<div>048 3039 8899 opcao 2</div>
<div><a class="moz-txt-link-abbreviated" href="http://www.easyteltelecom.com.br">www.easyteltelecom.com.br</a></div>
<div><br>
</div>
<div>Para quem nao cre, nenhuma prova converte,</div>
<div>Para aquele que cre, nenhuma prova precisa.</div>
<br>
<br>
<div>
<hr id="stopSpelling">Date: Mon, 4 Jun 2012 21:02:09 -0300<br>
From: <a class="moz-txt-link-abbreviated" href="mailto:alclicio@gmail.com">alclicio@gmail.com</a><br>
To: <a class="moz-txt-link-abbreviated" href="mailto:asteriskbrasil@listas.asteriskbrasil.org">asteriskbrasil@listas.asteriskbrasil.org</a><br>
Subject: Re: [AsteriskBrasil] Fail2ban<br>
<br>
Perfeito cara,
<div><br>
</div>
<div>Só foi alterar isso e tudo certo veja o resultado e
email no email do servidor que recebi</div>
<div><br>
</div>
<div>=============================================================</div>
<div><span>Hi,</span><br>
<br>
<span>The IP 201.47.170.59 has just been banned by
Fail2Ban after</span><br>
<span>4 attempts against ASTERISK.</span><br>
<br>
<br>
<span>Here are more information about </span><a
moz-do-not-send="true" href="http://201.47.170.59/"
target="_blank">201.47.170.59</a><span>:</span><br>
<br>
<br>
<br>
<span>Regards,</span><br>
<br>
<span>Fail2Ban</span>
</div>
<div><span>=============================================================</span></div>
<div><span><br>
</span></div>
<div><span><br>
</span></div>
<div><span><br>
</span></div>
<div><span>\0/ ..... Valeu</span></div>
<div><br>
<br>
<div class="ecxgmail_quote">Em 4 de junho de 2012 19:44,
Roger Pitigliani <span dir="ltr"><<a
moz-do-not-send="true"
href="mailto:rogerwinter@gmail.com">rogerwinter@gmail.com</a>></span>
escreveu:<br>
<blockquote class="ecxgmail_quote"
style="border-left:1px #ccc solid;padding-left:1ex">
Alclicio,<br>
<br>
o Elastix 2.3 utiliza o Asterisk 1.8 (Se não for
instalado via update<br>
de versões anteriores)...<br>
Então, no asterisk 1.8 o log gerado no arquivo<br>
"/var/log/asterisk/full" está com uma modificação,
pois junto com o<br>
host vem a porta da conexão (<HOST:PORTA>).<br>
<br>
Para que funcione vc tem que alterar as expressões no
seu<br>
"/etc/fail2ban/filter.d/asterisk.conf" conforme
abaixo:<br>
Caso contrário o fail2ban roda, porém não faz nenhum
tipo de bloqueio,<br>
pois as linhas no log estão diferentes do que ele
espera/procura.<br>
<br>
==========<br>
Registration from '.*' failed for
'<HOST>(:[0-9]{1,5})?' - Wrong password<br>
Registration from '.*' failed for
'<HOST>(:[0-9]{1,5})?' - No matching<br>
peer found<br>
Registration from '.*' failed for
'<HOST>(:[0-9]{1,5})?' -<br>
Username/auth name mismatch<br>
Registration from '.*' failed for
'<HOST>(:[0-9]{1,5})?' - Device does<br>
not match ACL<br>
Registration from '.*' failed for
'<HOST>(:[0-9]{1,5})?' - Peer is not<br>
supposed to register<br>
==========<br>
<br>
Referência:<br>
<a moz-do-not-send="true"
href="http://www.fail2ban.org/wiki/index.php/Talk:Asterisk"
target="_blank">http://www.fail2ban.org/wiki/index.php/Talk:Asterisk</a><br>
<br>
Espero que o ajude.<br>
Abraço<br>
<br>
<br>
-<br>
Roger Pitigliani<br>
<a moz-do-not-send="true"
href="mailto:rogerwinter@gmail.com">rogerwinter@gmail.com</a><br>
Porto Alegre - RS<br>
<div><br>
<br>
<br>
Em 3 de junho de 2012 14:53, Alclicio Vieira <<a
moz-do-not-send="true"
href="mailto:alclicio@gmail.com">alclicio@gmail.com</a>>
escreveu:<br>
><br>
</div>
<div>
<div>> Pessoal,<br>
><br>
> Segui esse tutorial, porém ainda
aparentemente ainda não está funcionando o
Fail2ban<br>
><br>
><br>
>
##########################################################################<br>
><br>
> Configurando o Fail2Ban<br>
><br>
> Agora nós precisamos fazer com que o fail2ban
seja capaz de identificar ataques contra o
asterisk.<br>
><br>
> Os arquivos de configuração ficam
em: /etc/fail2ban/filter.d<br>
><br>
> Vamos criar aqui um arquivo para o asterisk.<br>
><br>
> #touch asterisk.conf<br>
><br>
> Este arquivo deve conter o seguinte:<br>
><br>
> [INCLUDES]<br>
><br>
> [Definition]<br>
> failregex = NOTICE.* .*: Registration from
‘.*’ failed for ‘<HOST>’ – Wrong password<br>
> NOTICE.* .*: Registration from
‘.*’ failed for ‘<HOST>’ – No matching peer
found<br>
> NOTICE.* .*: Registration from
‘.*’ failed for ‘<HOST>’ – Username/auth
name mismatch<br>
> NOTICE.* .*: Registration from
‘.*’ failed for ‘<HOST>’ – Device does not
match ACL<br>
> NOTICE.* <HOST> failed to
authenticate as ‘.*’$<br>
> NOTICE.* .*: No registration for
peer ‘.*’ \(from <HOST>\)<br>
> NOTICE.* .*: Host <HOST>
failed MD5 authentication for ‘.*’ (.*)<br>
> NOTICE.* .*: Failed to
authenticate user .*@<HOST>.*<br>
> ignoreregex =<br>
><br>
> No aquivo /etc/fail2ban/jail.conf inclua as
seguintes linhas:<br>
><br>
> [asterisk-iptables]<br>
><br>
> enabled = true<br>
> filter = asterisk<br>
> action = iptables-allports[name=ASTERISK,
protocol=all]<br>
> sendmail-whois[name=ASTERISK,
dest=root, sender=<a moz-do-not-send="true"
href="mailto:alclicio@gmail.com">alclicio@gmail.com</a>]
#aqui devo colocar meu email ?<br>
> logpath = /var/log/asterisk/full<br>
> maxretry = 3<br>
> bantime = 259200<br>
> Maxretry determina a quantidade de erros que
o fail2ban vai aceitar de um determinado host
antes de bani-lo.<br>
><br>
> O bantime é em segundos, portanto neste caso
qualquer tentativa de ataque ao asterisk será
banida por 72 horas.<br>
><br>
> Para não banir você mesmo, no jail.conf,
procure pela tag [DEFAULT], no paramento ignoreip
informe seu ip.<br>
><br>
> Edite o /etc/asterisk/logger.conf e defina o
dateformat da seguinte forma.<br>
><br>
> [general]<br>
> dateformat=%F %T<br>
><br>
> Na sessão [logfiles] você deve inserir a
seguinte linha:<br>
><br>
> syslog.local0 => notice<br>
><br>
> Feito isso é só dar reload no logger<br>
><br>
> asterisk -rx ”logger reload”<br>
><br>
> Para verificar se o fail2ban subiu, basta
rodar o seguinte comando:<br>
><br>
> iptables -L -v<br>
><br>
> As seguintes linhas devem aparecer:<br>
><br>
> Chain fail2ban-ASTERISK (1 references)<br>
> pkts bytes target prot opt in
out source destination<br>
> 6287K 1158M RETURN all – any any
anywhere anywhere<br>
><br>
><br>
> Estou configurando no elastix 2.3.0, tem algo
a mais a fazer? tentei autenticar um ramal externo
com a senha errada por mais de 3 vezes e ainda não
está banindo.<br>
><br>
> --<br>
> ALCLICIO VIEIRA,<br>
> ITIL® V3 Certification,<br>
> Crea-DF 10476 Telecom<br>
><br>
> Phone:<a moz-do-not-send="true"
target="_blank">55 (11) 3509-2505</a> - São
Paulo<br>
> Phone:<a moz-do-not-send="true"
target="_blank">55 (61) 4063-7110</a> - Brasília<br>
> Phone:<a moz-do-not-send="true"
target="_blank">55 (62) 3416-7800</a> - Goiás<br>
><br>
><br>
><br>
><br>
</div>
</div>
<div>>
_______________________________________________<br>
> KHOMP Inovação: External Board Series<br>
> Módulos de 1/2 rack e 1U para todas as
interfaces e soluções Asterisk e FreeSWITCH.<br>
> Tenha a External Series Experience na sua
aplicação. Visite <a moz-do-not-send="true"
href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
> _______________________________________________<br>
> DIGIVOICE Fabricante de Placas de Voz e
Channel Bank<br>
> 20 anos de experiência com E1(R2/ISDN), FXS,
FXO e GSM<br>
> Centro Treinamento - Curso de PABX IP -
Asterisk - Site <a moz-do-not-send="true"
href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
> ________<br>
> YEALINK: Telefones IP e VídeoPhones IP com o
melhor custo/benefício do mercado.<br>
> email: <a moz-do-not-send="true"
href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a>
| <a moz-do-not-send="true"
href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a>
| <a moz-do-not-send="true" target="_blank">(11)
5503-1011</a><br>
> ______________________________________________<br>
> Para remover seu email desta lista, basta
enviar um email em branco para <a
moz-do-not-send="true"
href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
<br>
<br>
<br>
<br>
--<br>
</div>
--<br>
Roger Pitigliani<br>
<a moz-do-not-send="true"
href="mailto:rogerwinter@gmail.com">rogerwinter@gmail.com</a><br>
Skype: roger.pitigliani<br>
<div>
<div>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces
e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua
aplicação. Visite <a moz-do-not-send="true"
href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE Fabricante de Placas de Voz e Channel
Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e
GSM<br>
Centro Treinamento - Curso de PABX IP - Asterisk
- Site <a moz-do-not-send="true"
href="http://www.digivoice.com.br"
target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o
melhor custo/benefício do mercado.<br>
email: <a moz-do-not-send="true"
href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a>
| <a moz-do-not-send="true"
href="http://www.commlogik.com.br"
target="_blank">www.commlogik.com.br</a> | <a
moz-do-not-send="true" target="_blank">(11)
5503-1011</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar
um email em branco para <a moz-do-not-send="true"
href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
</div>
</div>
</blockquote>
</div>
<br>
<br clear="all">
<div><br>
</div>
-- <br>
ALCLICIO VIEIRA,<br>
ITIL® V3 Certification,<br>
Crea-DF 10476 Telecom<br>
<br>
<div><span
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">Phone:55 </span><a
moz-do-not-send="true"
style="line-height:16px;color:rgb(0,0,204);font-family:Arial,sans-serif"
target="_blank">(11) 3509-2505</a><span
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif"> -
São Paulo</span><br
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">
<span
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">Phone</span><span
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">:55 </span><a
moz-do-not-send="true"
style="line-height:16px;color:rgb(0,0,204);font-family:Arial,sans-serif"
target="_blank">(61) 4063-7110</a><span
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif"> -
Brasília</span><br
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">
<div><span
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">Phone</span><span
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">:55 </span><a
moz-do-not-send="true"
style="line-height:16px;color:rgb(0,0,204);font-family:Arial,sans-serif"
target="_blank">(62) 3416-7800 </a><span
style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">-
Goiás</span> <br>
<div>
<div><br>
<br>
</div>
</div>
</div>
</div>
<br>
</div>
<br>
_______________________________________________
KHOMP Inova��o: External Board Series
M�dulos de 1/2 rack e 1U para todas as interfaces e solu��es
Asterisk e FreeSWITCH.
Tenha a External Series Experience na sua aplica��o.
Visite�www.khomp.com
_______________________________________________
DIGIVOICE Fabricante de Placas de Voz e Channel Bank
20 anos de experi�ncia com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP - Asterisk - Site
<a class="moz-txt-link-abbreviated" href="http://www.digivoice.com.br">www.digivoice.com.br</a>
________
YEALINK: Telefones IP e V�deoPhones IP com o melhor
custo/benef�cio do mercado.
email: <a class="moz-txt-link-abbreviated" href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a class="moz-txt-link-abbreviated" href="http://www.commlogik.com.br">www.commlogik.com.br</a> |
(11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em
branco para
<a class="moz-txt-link-abbreviated" href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></div>
</div>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite <a class="moz-txt-link-abbreviated" href="http://www.khomp.com">www.khomp.com</a>
_______________________________________________
DIGIVOICE Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP - Asterisk - Site <a class="moz-txt-link-abbreviated" href="http://www.digivoice.com.br">www.digivoice.com.br</a>
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.
email: <a class="moz-txt-link-abbreviated" href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a class="moz-txt-link-abbreviated" href="http://www.commlogik.com.br">www.commlogik.com.br</a> | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a class="moz-txt-link-abbreviated" href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
</blockquote>
<br>
</body>
</html>