<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><font face="Arial" size="3" style="font-size:12pt;"> Bom, mas essa é a função do Fail2Ban, impedir entrada, pois o ataque não é so voip, mas</font><div><font face="Arial" size="3" style="font-size:12pt;">root, ssh, udp, samba, ftp, http, e impedir trafego indesejado, se não teus logs sempre vão estar cheios.<br id="FontBreak"></font><br><br><pre style="line-height:17px;white-space:normal;color:rgb(42, 42, 42);background-color:rgb(255, 255, 255)">Hudson <br>(048) 8413-7000<br>Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. </pre><br><br><div>> From: caiopato@gmail.com<br>> Date: Wed, 31 Jul 2013 13:55:38 -0300<br>> To: asteriskbrasil@listas.asteriskbrasil.org<br>> Subject: Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49<br>> <br>> 2013/7/31 Hudson Cardoso <hudsoncardoso@hotmail.com>:<br>> > O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que<br>> > o teu firewall não está corretamente<br>> > dimensionado, e/ou configurado.<br>> <br>> Por partes:<br>> 1) Eu não uso fail2ban (acho que esqueci de comentar... quis dizer que<br>> mesmo com fail2ban, não havia logs para investigar - só com o tcpdump<br>> eu consegui capturar os pacotes);<br>> 2) O atacante não conseguiu fazer nenhum estrago;<br>> 3) Não sou provedor e o acesso é muito restrito, então não preciso ter<br>> regras flexíveis - as minhas, por sinal, são radicais: o bloqueio de<br>> vários /8 no iptables sempre que algum engraçadinho tenta descarregar<br>> chamadas.<br>> <br>> > No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest<br>> > pede acesso ao diaplan, simplesmente<br>> > dou HangUp em todos os Guest.<br>> <br>> Eu tenho uma regra para guest, e todo mundo que não é autenticado cai<br>> lá, a chamada é aceita e ele é atendido (answer) e depois derrubado<br>> (hanguup).<br>> <br>> Como eu havia dito "Esse tipo de ataque NÃO É identificado pelo<br>> fail2ban pois não há logs gerados." Não houve qualquer registro no CDR<br>> nem nos logs físicos - só mesmo no console.<br>> <br>> Mais ou menos simples.<br>> _______________________________________________<br>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.<br>> _______________________________________________<br>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.<br>> _______________________________________________<br>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe@listas.asteriskbrasil.org<br></div></div> </div></body>
</html>