<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>
<font size="3" style="font-size:12pt;">encontrei isso.</font><div><font size="3" style="font-size:12pt;"><br></font></div><div><a href="http://www.fail2ban.org/wiki/index.php/Talk:Asterisk">http://www.fail2ban.org/wiki/index.php/Talk:Asterisk</a>&nbsp;</div><div><br></div><div>mas no rodape fala :</div><div><br></div><div><span style="font-family: sans-serif; line-height: 19px; background-color: rgb(255, 255, 255); ">Fail2ban can not be used w/Asterisk simply because Asterisk does not log enough info for fail2ban to take action. More info:</span><a rel="nofollow" class="external free" href="http://forums.asterisk.org/viewtopic.php?p=159984" style="text-decoration: none; color: rgb(102, 51, 102); background-image: url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAoAAAAKCAYAAACNMs+9AAAAVklEQVR4Xn3PgQkAMQhDUXfqTu7kTtkpd5RA8AInfArtQ2iRXFWT2QedAfttj2FsPIOE1eCOlEuoWWjgzYaB/IkeGOrxXhqB+uA9Bfcm0lAZuh+YIeAD+cAqSz4kCMUAAAAASUVORK5CYII=); background-color: rgb(255, 255, 255); padding-right: 13px; font-family: sans-serif; line-height: 19px; background-position: 100% 50%; background-repeat: no-repeat no-repeat; ">http://forums.asterisk.org/viewtopic.php?p=159984</a><span style="font-family: sans-serif; line-height: 19px; background-color: rgb(255, 255, 255); ">&nbsp;There should be a big disclaimer warning users about this issue.</span>&nbsp;</div><div><br></div><div>Alertar a todos ? nao tem informacao suficiente ? alguem sabe de mais alguma coisa de fail2ban ?</div><div><br id="FontBreak"><br><br><div><br></div>Hudson <br>048 8413 7000<div>048 3039 8899 opcao 2</div><div>www.easyteltelecom.com.br</div><div><br></div><div>Para quem nao cre, nenhuma prova converte,</div><div>Para aquele que cre, nenhuma prova precisa.</div><br><br><div><div id="SkyDrivePlaceholder"></div><hr id="stopSpelling">Date: Mon, 4 Jun 2012 21:02:09 -0300<br>From: alclicio@gmail.com<br>To: asteriskbrasil@listas.asteriskbrasil.org<br>Subject: Re: [AsteriskBrasil] Fail2ban<br><br>Perfeito cara,<div><br></div><div>Só foi alterar isso e tudo certo veja o resultado e email no email do servidor que recebi</div><div><br></div><div>=============================================================</div><div><span>Hi,</span><br>

<br><span>The IP 201.47.170.59 has just been banned by Fail2Ban after</span><br><span>4 attempts against ASTERISK.</span><br><br><br><span>Here are more information about&nbsp;</span><a href="http://201.47.170.59/" target="_blank">201.47.170.59</a><span>:</span><br>

<br><br><br><span>Regards,</span><br><br><span>Fail2Ban</span>
</div><div><span>=============================================================</span></div><div><span><br></span></div><div><span><br></span></div><div><span><br></span></div><div><span>\0/ ..... Valeu</span></div>
<div><br><br><div class="ecxgmail_quote">Em 4 de junho de 2012 19:44, Roger Pitigliani <span dir="ltr">&lt;<a href="mailto:rogerwinter@gmail.com">rogerwinter@gmail.com</a>&gt;</span> escreveu:<br><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex">

Alclicio,<br>
<br>
o Elastix 2.3 utiliza o Asterisk 1.8 (Se não for instalado via update<br>
de versões anteriores)...<br>
Então, no asterisk 1.8 o log gerado no arquivo<br>
"/var/log/asterisk/full" está com uma modificação, pois junto com o<br>
host vem a porta da conexão (&lt;HOST:PORTA&gt;).<br>
<br>
Para que funcione vc tem que alterar as expressões no seu<br>
"/etc/fail2ban/filter.d/asterisk.conf" conforme abaixo:<br>
Caso contrário o fail2ban roda, porém não faz nenhum tipo de bloqueio,<br>
pois as linhas no log estão diferentes do que ele espera/procura.<br>
<br>
==========<br>
Registration from '.*' failed for '&lt;HOST&gt;(:[0-9]{1,5})?' - Wrong password<br>
Registration from '.*' failed for '&lt;HOST&gt;(:[0-9]{1,5})?' - No matching<br>
peer found<br>
Registration from '.*' failed for '&lt;HOST&gt;(:[0-9]{1,5})?' -<br>
Username/auth name mismatch<br>
Registration from '.*' failed for '&lt;HOST&gt;(:[0-9]{1,5})?' - Device does<br>
not match ACL<br>
Registration from '.*' failed for '&lt;HOST&gt;(:[0-9]{1,5})?' - Peer is not<br>
supposed to register<br>
==========<br>
<br>
Referência:<br>
<a href="http://www.fail2ban.org/wiki/index.php/Talk:Asterisk" target="_blank">http://www.fail2ban.org/wiki/index.php/Talk:Asterisk</a><br>
<br>
Espero que o ajude.<br>
Abraço<br>
<br>
<br>
-<br>
Roger Pitigliani<br>
<a href="mailto:rogerwinter@gmail.com">rogerwinter@gmail.com</a><br>
Porto Alegre - RS<br>
<div><br>
<br>
<br>
Em 3 de junho de 2012 14:53, Alclicio Vieira &lt;<a href="mailto:alclicio@gmail.com">alclicio@gmail.com</a>&gt; escreveu:<br>
&gt;<br>
</div><div><div>&gt; Pessoal,<br>
&gt;<br>
&gt; Segui esse tutorial, porém ainda aparentemente ainda não está funcionando o Fail2ban<br>
&gt;<br>
&gt;<br>
&gt; ##########################################################################<br>
&gt;<br>
&gt; Configurando o Fail2Ban<br>
&gt;<br>
&gt; Agora nós precisamos fazer com que o fail2ban seja capaz de identificar ataques contra o asterisk.<br>
&gt;<br>
&gt; Os arquivos de configuração ficam em:&nbsp;/etc/fail2ban/filter.d<br>
&gt;<br>
&gt; Vamos criar aqui um arquivo para o asterisk.<br>
&gt;<br>
&gt; #touch asterisk.conf<br>
&gt;<br>
&gt; Este arquivo deve conter o seguinte:<br>
&gt;<br>
&gt; [INCLUDES]<br>
&gt;<br>
&gt; [Definition]<br>
&gt; failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘&lt;HOST&gt;’ – Wrong password<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NOTICE.* .*: Registration from ‘.*’ failed for ‘&lt;HOST&gt;’ – No matching peer found<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NOTICE.* .*: Registration from ‘.*’ failed for ‘&lt;HOST&gt;’ – Username/auth name mismatch<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NOTICE.* .*: Registration from ‘.*’ failed for ‘&lt;HOST&gt;’ – Device does not match ACL<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NOTICE.* &lt;HOST&gt; failed to authenticate as ‘.*’$<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NOTICE.* .*: No registration for peer ‘.*’ \(from &lt;HOST&gt;\)<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NOTICE.* .*: Host &lt;HOST&gt; failed MD5 authentication for ‘.*’ (.*)<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NOTICE.* .*: Failed to authenticate user .*@&lt;HOST&gt;.*<br>
&gt; ignoreregex =<br>
&gt;<br>
&gt; No aquivo&nbsp;/etc/fail2ban/jail.conf&nbsp; inclua as seguintes linhas:<br>
&gt;<br>
&gt; [asterisk-iptables]<br>
&gt;<br>
&gt; enabled&nbsp; = true<br>
&gt; filter&nbsp;&nbsp; = asterisk<br>
&gt; action&nbsp;&nbsp; = iptables-allports[name=ASTERISK, protocol=all]<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; sendmail-whois[name=ASTERISK, dest=root, sender=<a href="mailto:alclicio@gmail.com">alclicio@gmail.com</a>] #aqui devo colocar meu email ?<br>
&gt; logpath&nbsp; = /var/log/asterisk/full<br>
&gt; maxretry = 3<br>
&gt; bantime = 259200<br>
&gt; Maxretry&nbsp;determina a quantidade de erros que o fail2ban vai aceitar de um determinado host antes de bani-lo.<br>
&gt;<br>
&gt; O&nbsp;bantime&nbsp;é em segundos, portanto neste caso qualquer tentativa de ataque ao asterisk será banida por 72 horas.<br>
&gt;<br>
&gt; Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT], no paramento ignoreip informe seu ip.<br>
&gt;<br>
&gt; Edite o&nbsp;/etc/asterisk/logger.conf&nbsp;e defina o dateformat da seguinte forma.<br>
&gt;<br>
&gt; &nbsp;[general]<br>
&gt; dateformat=%F %T<br>
&gt;<br>
&gt; Na sessão [logfiles] você deve inserir a seguinte linha:<br>
&gt;<br>
&gt; syslog.local0&nbsp;=&gt;&nbsp;notice<br>
&gt;<br>
&gt; Feito isso é só dar reload no logger<br>
&gt;<br>
&gt; asterisk&nbsp;-rx&nbsp;”logger&nbsp;reload”<br>
&gt;<br>
&gt; Para verificar se o fail2ban subiu, basta rodar o seguinte comando:<br>
&gt;<br>
&gt; iptables -L -v<br>
&gt;<br>
&gt; As seguintes linhas devem aparecer:<br>
&gt;<br>
&gt; Chain fail2ban-ASTERISK (1 references)<br>
&gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp; source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination<br>
&gt; 6287K 1158M RETURN&nbsp;&nbsp;&nbsp;&nbsp; all&nbsp; –&nbsp; any&nbsp;&nbsp;&nbsp; any&nbsp;&nbsp;&nbsp;&nbsp; anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; anywhere<br>
&gt;<br>
&gt;<br>
&gt; Estou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda não está banindo.<br>
&gt;<br>
&gt; --<br>
&gt; ALCLICIO VIEIRA,<br>
&gt; ITIL® V3 Certification,<br>
&gt; Crea-DF 10476 Telecom<br>
&gt;<br>
&gt; Phone:<a target="_blank">55&nbsp;(11) 3509-2505</a>&nbsp;- São Paulo<br>
&gt; Phone:<a target="_blank">55&nbsp;(61) 4063-7110</a>&nbsp;- Brasília<br>
&gt; Phone:<a target="_blank">55&nbsp;(62) 3416-7800</a>&nbsp;- Goiás<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
</div></div><div>&gt; _______________________________________________<br>
&gt; KHOMP Inovação: External Board Series<br>
&gt; Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
&gt; Tenha a External Series Experience na sua aplicação. Visite&nbsp;<a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
&gt; _______________________________________________<br>
&gt; DIGIVOICE &nbsp;Fabricante de Placas de Voz e Channel Bank<br>
&gt; 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
&gt; Centro Treinamento - Curso de PABX IP - &nbsp;Asterisk &nbsp;- Site &nbsp;<a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
&gt; ________<br>
&gt; YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
&gt; email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a target="_blank">(11) 5503-1011</a><br>


&gt; ______________________________________________<br>
&gt; Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>

<br>
<br>
<br>
<br>
--<br>
</div>--<br>
Roger Pitigliani<br>
<a href="mailto:rogerwinter@gmail.com">rogerwinter@gmail.com</a><br>
Skype: roger.pitigliani<br>
<div><div>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua aplicação. Visite&nbsp;<a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE &nbsp;Fabricante de Placas de Voz e Channel Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
Centro Treinamento - Curso de PABX IP - &nbsp;Asterisk &nbsp;- Site &nbsp;<a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a target="_blank">(11) 5503-1011</a><br>


______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>ALCLICIO VIEIRA,<br>ITIL® V3 Certification,<br>Crea-DF 10476 Telecom<br><br><div><span style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">Phone:55&nbsp;</span><a style="line-height:16px;color:rgb(0,0,204);font-family:Arial,sans-serif" target="_blank">(11) 3509-2505</a><span style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">&nbsp;- São Paulo</span><br style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">

<span style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">Phone</span><span style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">:55&nbsp;</span><a style="line-height:16px;color:rgb(0,0,204);font-family:Arial,sans-serif" target="_blank">(61) 4063-7110</a><span style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">&nbsp;- Brasília</span><br style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">

<div><span style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">Phone</span><span style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">:55&nbsp;</span><a style="line-height:16px;color:rgb(0,0,204);font-family:Arial,sans-serif" target="_blank">(62) 3416-7800&nbsp;</a><span style="line-height:16px;color:rgb(0,64,128);font-family:Arial,sans-serif">- Goiás</span>&nbsp; &nbsp;<br>

<div><div><br><br></div></div></div></div><br>
</div>
<br>_______________________________________________
KHOMP Inova��o: External Board Series
M�dulos de 1/2 rack e 1U para todas as interfaces e solu��es Asterisk e FreeSWITCH.
Tenha a External Series Experience na sua aplica��o. Visite�www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experi�ncia com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
________
YEALINK: Telefones IP e V�deoPhones IP com o melhor custo/benef�cio do mercado.
email: yealink@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</div></div>                                               </div></body>
</html>