[AsteriskBrasil] Fail2Ban não bloqueia ataque

João Marcelo Queiroz jmbq em bol.com.br
Terça Janeiro 4 17:33:28 BRST 2011


Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam celular (3G) com ramais registrados diretamente no servidor. Sendo assim não tenho como liberar apenas os IPs conhecidos. Em outra empresa utilizo VPN, mas nesse caso não posso, por conta dos aparelhos celular e alguns ATAs em outras cidades apontando para o servidor (IP dinâmico).

Mas obrigado pela sugestão,

João Queiroz



Em 04/01/2011, às 16:27, Sylvio Carlos Jollenbeck escreveu:

> Sugestão,
> 
> Desencana de fail2ban ou de qualquer outra ferramenta desse nível, a solução é impedir o acesso externo ao servidor e apenas utilizar ramais externos via vpn. 
> 
> Já tive muitos problemas com isso!
> 
> Abs
> 
> # ---------------------------------------------------------------
> Sylvio Carlos Jollenbeck Borin
> # ----------------------------------------------------------------
> 
> 
> Em 4 de janeiro de 2011 17:18, João Marcelo Queiroz <jmbq em bol.com.br> escreveu:
> Estou com problemas para fazer o fail2ban bloquear alguns ataques que estou recebendo em um servidor. Já li e re-li alguns artigos sobre a sua configuração, sem sucesso. Minhas fontes foram:
> http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk
> http://iceburn.info/linux/instalar-fail2ban-em-centos.html
> 
> Estou rodando o Trixbox 2.6.2.3
> 
> 
> Agradeceria muito qualquer ajuda, segue abaixo algumas informações que podem ajudar:
> 
> -----------------------------
> 
> [trixbox1.localdomain ~]# iptables -L
> Chain INPUT (policy ACCEPT)
> target     prot opt source               destination         
> fail2ban-ASTERISK  all  --  anywhere             anywhere            
> ACCEPT     all  --  anywhere             anywhere            
> ACCEPT     all  --  192.168.0.0/24       anywhere            
> DROP       all  --  ns1.oiss10.net       anywhere            -> alguns IPs que bloqueie na mão
> DROP       all  --  93.114.196.109       anywhere            
> DROP       all  --  109.203.99.88        anywhere            
> DROP       all  --  reverse.completel.net  anywhere            
> DROP       all  --  server77-68-52-218.live-servers.net  anywhere            
> DROP       all  --  server1.boundlessflight.com  anywhere            
> DROP       all  --  ns1.oiss10.net       anywhere            
> DROP       all  --  184-106-165-224.static.cloud-ips.com  anywhere            
> DROP       all  --  midphase.com         anywhere            
> DROP       all  --  188.161.224.232      anywhere            
> DROP       all  --  14-64-245-83.packetexchange.net  anywhere            
> DROP       all  --  174-143-246-25.static.slicehost.net  anywhere            
> DROP       all  --  168.188.130.184      anywhere            
> DROP       all  --  static.206.17.4.46.clients.your-server.de  anywhere            
> DROP       all  --  91.220.62.36         anywhere            
> DROP       all  --  59.39.66.30          anywhere            
> ACCEPT     all  --  XXX.XXX.XXX.XX.static.gvt.net.br  anywhere            
> ACCEPT     udp  --  anywhere             anywhere            udp dpts:sip:5070 
> ACCEPT     udp  --  anywhere             anywhere            udp dpts:ndmp:dnp 
> ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain 
> ACCEPT     udp  --  anywhere             anywhere            udp dpt:iax 
> DROP       icmp --  anywhere             anywhere            icmp echo-request 
> ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
> DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN 
> 
> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination         
> 
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination         
> 
> Chain fail2ban-ASTERISK (1 references)
> target     prot opt source               destination         
> RETURN     all  --  anywhere             anywhere            
> 
> Chain fail2ban-SSH (0 references)
> target     prot opt source               destination         
> RETURN     all  --  anywhere             anywhere            
> [trixbox1.localdomain ~]# 
> 
> -----------------------------
> FAIL2BAN.CONF
> -----------------------------
> 
> # Fail2Ban configuration file
> #
> # Author: Cyril Jaquier
> #
> # $Revision: 629 $
> #
> 
> [Definition]
> 
> # Option:  loglevel
> # Notes.:  Set the log level output.
> #          1 = ERROR
> #          2 = WARN
> #          3 = INFO
> #          4 = DEBUG
> # Values:  NUM  Default:  3
> #
> loglevel = 3
> 
> # Option:  logtarget
> # Notes.:  Set the log target. This could be a file, SYSLOG, STDERR or STDOUT.
> #          Only one log target can be specified.
> # Values:  STDOUT STDERR SYSLOG file  Default:  /var/log/fail2ban.log
> #
> logtarget = /var/log/fail2ban.log
> 
> # Option: socket
> # Notes.: Set the socket file. This is used to communicate with the daemon. Do
> #         not remove this file when Fail2ban runs. It will not be possible to
> #         communicate with the server afterwards.
> # Values: FILE  Default:  /var/run/fail2ban/fail2ban.sock
> #
> socket = /var/run/fail2ban/fail2ban.sock
> 
> 
> 
> -----------------------------
> JAIL.CONF (apenas o final).
> -----------------------------
> 
> [asterisk-iptables]
> 
> enabled  = true
> filter   = asterisk                                                            
> action   = iptables-allports[name=ASTERISK, protocol=all]
>           sendmail-whois[name=ASTERISK, dest=xxxx em xxx.com.br, sender=fail2ban em example.org]
> logpath  = /var/log/messages
> maxretry = 3
> bantime = 259200
> 
> 
> -----------------------------
> ASTERISK.CONF (filter.d)
> -----------------------------
> 
> # Fail2Ban configuration file
> #
> #
> # $Revision: 250 $
> #
> 
> [INCLUDES]
> 
> # Read common prefixes. If any customizations available -- read them from
> # common.local
> #before = common.conf
> 
> 
> [Definition]
> 
> #_daemon = asterisk
> 
> # Option:  failregex
> # Notes.:  regex to match the password failures messages in the logfile. The
> #          host must be matched by a group named "host". The tag "<HOST>" can
> #          be used for standard IP/hostname matching and is only an alias for
> #          (?:::f{4,6}:)?(?P<host>\S+)
> # Values:  TEXT
> #
> 
> failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
>            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
>            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
>            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
>            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
>            NOTICE.* <HOST> failed to authenticate as '.*'$
>            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
>            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
>            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
> ignoreregex =
> 
> 
> -----------------------------
> LOGGER.CONF
> -----------------------------
> 
> [general]
> ; dateformat=%F %T
> 
> ;
> ; Logging Configuration
> ;
> ; In this file, you configure logging to files or to
> ; the syslog system.
> ;
> ; For each file, specify what to log.
> ;
> ; For console logging, you set options at start of
> ; Asterisk with -v for verbose and -d for debug
> ; See 'asterisk -h' for more information.
> ;
> ; Directory for log files is configures in asterisk.conf
> ; option astlogdir
> ;
> [logfiles]
> syslog.local0 => notice
> ;
> ; Format is "filename" and then "levels" of debugging to be included:
> ;    debug
> ;    notice
> ;    warning
> ;    error
> ;    verbose
> ;
> ; Special filename "console" represents the system console
> ;
> ;debug => debug
> ;console => notice,warning,error
> console => notice,warning,error,debug,verbose
> ;messages => notice,warning,error
> full => notice,warning,error,debug,verbose
> 
> ;syslog keyword : This special keyword logs to syslog facility
> ;
> ;syslog.local0 => notice,warning,error
> ;
> 
> -----------------------------
> 
> 
> Aqui tentei descomentar o "; dateformat=%F %T" e apontar o "[asterisk-iptables]" para /var/log/asterisk/full mas também não obtive sucesso.
> 
> Qualquer ajuda será de grande valia.
> 
> Atenciosamente,
> 
> João Queiroz
> 
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> 
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito 
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110104/9d9b9817/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil