[AsteriskBrasil] Fail2ban

Alclicio Vieira alclicio em gmail.com
Domingo Junho 3 16:05:58 BRT 2012


Cara fiz esse procedimento ai


Edite o */etc/asterisk/logger.conf* e defina o dateformat da seguinte forma.

 [general]
dateformat=%F %T

Na sessão [logfiles] você deve inserir a seguinte linha:

syslog.local0 => notice

Feito isso é só dar reload no logger

asterisk -rx ”logger reload”

Para verificar se o fail2ban subiu, basta rodar o seguinte comando:

Em relação aos logs do asterisk, falta algo?

obrigado pelo retorno!

Em 3 de junho de 2012 15:35, Rogger Faioli <rogger.faioli em gmail.com>escreveu:

> Amigo,
>
> Você habilitou o seu log para o full do Asterisk?
>
> Att,
>
> Rogger
>
> Em 3 de junho de 2012 14:53, Alclicio Vieira <alclicio em gmail.com>escreveu:
>
>> Pessoal,
>>
>> Segui esse tutorial, porém ainda aparentemente ainda não está funcionando
>> o Fail2ban
>>
>>
>> ##########################################################################
>>
>> *Configurando o Fail2Ban*
>>
>> Agora nós precisamos fazer com que o fail2ban seja capaz de identificar
>> ataques contra o asterisk.
>>
>> Os arquivos de configuração ficam em:* /etc/fail2ban/filter.d*
>>
>> Vamos criar aqui um arquivo para o asterisk.
>>
>> #touch asterisk.conf
>>
>> Este arquivo deve conter o seguinte:
>>
>> [INCLUDES]
>>
>> [Definition]
>> failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>> Wrong password
>>             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – No
>> matching peer found
>>             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>> Username/auth name mismatch
>>             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>> Device does not match ACL
>>             NOTICE.* <HOST> failed to authenticate as ‘.*’$
>>             NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)
>>             NOTICE.* .*: Host <HOST> failed MD5 authentication for ‘.*’
>> (.*)
>>             NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
>> ignoreregex =
>>
>> No aquivo* /etc/fail2ban/jail.conf*  inclua as seguintes linhas:
>>
>> [asterisk-iptables]
>>
>> enabled  = true
>> filter   = asterisk
>> action   = iptables-allports[name=ASTERISK, protocol=all]
>>            sendmail-whois[name=ASTERISK, dest=root, sender=
>> alclicio em gmail.com] #aqui devo colocar meu email ?
>> logpath  = /var/log/asterisk/full
>> maxretry = 3
>> bantime = 259200
>> *Maxretry *determina a quantidade de erros que o fail2ban vai aceitar de
>> um determinado host antes de bani-lo.
>>
>> *O* *bantime* é em segundos, portanto neste caso qualquer tentativa de
>> ataque ao asterisk será banida por 72 horas.
>>
>> Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT], no
>> paramento ignoreip informe seu ip.
>>
>> Edite o */etc/asterisk/logger.conf* e defina o dateformat da seguinte
>> forma.
>>
>>  [general]
>> dateformat=%F %T
>>
>> Na sessão [logfiles] você deve inserir a seguinte linha:
>>
>> syslog.local0 => notice
>>
>> Feito isso é só dar reload no logger
>>
>> asterisk -rx ”logger reload”
>>
>> Para verificar se o fail2ban subiu, basta rodar o seguinte comando:
>>
>> *iptables -L -v*
>>
>> As seguintes linhas devem aparecer:
>>
>> Chain fail2ban-ASTERISK (1 references)
>>  pkts bytes target     prot opt in     out     source
>> destination
>> 6287K 1158M RETURN     all  –  any    any     anywhere
>> anywhere
>>
>> Estou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei
>> autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda
>> não está banindo.
>>
>> --
>> ALCLICIO VIEIRA,
>> ITIL® V3 Certification,
>> Crea-DF 10476 Telecom
>>
>> Phone:55 (11) 3509-2505 - São Paulo
>> Phone:55 (61) 4063-7110 - Brasília
>> Phone:55 (62) 3416-7800 - Goiás
>>
>>
>>
>>
>> _______________________________________________
>> KHOMP Inovação: External Board Series
>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>> FreeSWITCH.
>> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
>> _______________________________________________
>> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>> www.digivoice.com.br
>> ________
>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP Inovação: External Board Series
> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
> FreeSWITCH.
> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
> _______________________________________________
> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
> www.digivoice.com.br
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo
Phone:55 (61) 4063-7110 - Brasília
Phone:55 (62) 3416-7800 - Goiás
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120603/8b7d2b1c/attachment.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil