[AsteriskBrasil] Fail2ban
Rogger Faioli
rogger.faioli em gmail.com
Domingo Junho 3 16:15:40 BRT 2012
Alclicio,
Não me lembro agora de cabeça, mas você tem que ativar o log "full" do
Asterisk, caso contrário não vai funcionar. Eu montei um passo a passo
quando estiver em casa te manda em PVT.
Rogger
Em 3 de junho de 2012 16:05, Alclicio Vieira <alclicio em gmail.com> escreveu:
> Cara fiz esse procedimento ai
>
>
> Edite o */etc/asterisk/logger.conf* e defina o dateformat da seguinte
> forma.
>
> [general]
> dateformat=%F %T
>
> Na sessão [logfiles] você deve inserir a seguinte linha:
>
> syslog.local0 => notice
>
> Feito isso é só dar reload no logger
>
> asterisk -rx ”logger reload”
>
> Para verificar se o fail2ban subiu, basta rodar o seguinte comando:
>
> Em relação aos logs do asterisk, falta algo?
>
> obrigado pelo retorno!
>
> Em 3 de junho de 2012 15:35, Rogger Faioli <rogger.faioli em gmail.com>escreveu:
>
> Amigo,
>>
>> Você habilitou o seu log para o full do Asterisk?
>>
>> Att,
>>
>> Rogger
>>
>> Em 3 de junho de 2012 14:53, Alclicio Vieira <alclicio em gmail.com>escreveu:
>>
>>> Pessoal,
>>>
>>> Segui esse tutorial, porém ainda aparentemente ainda não está
>>> funcionando o Fail2ban
>>>
>>>
>>>
>>> ##########################################################################
>>>
>>> *Configurando o Fail2Ban*
>>>
>>> Agora nós precisamos fazer com que o fail2ban seja capaz de identificar
>>> ataques contra o asterisk.
>>>
>>> Os arquivos de configuração ficam em:* /etc/fail2ban/filter.d*
>>>
>>> Vamos criar aqui um arquivo para o asterisk.
>>>
>>> #touch asterisk.conf
>>>
>>> Este arquivo deve conter o seguinte:
>>>
>>> [INCLUDES]
>>>
>>> [Definition]
>>> failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>>> Wrong password
>>> NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – No
>>> matching peer found
>>> NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>>> Username/auth name mismatch
>>> NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ –
>>> Device does not match ACL
>>> NOTICE.* <HOST> failed to authenticate as ‘.*’$
>>> NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)
>>> NOTICE.* .*: Host <HOST> failed MD5 authentication for ‘.*’
>>> (.*)
>>> NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
>>> ignoreregex =
>>>
>>> No aquivo* /etc/fail2ban/jail.conf* inclua as seguintes linhas:
>>>
>>> [asterisk-iptables]
>>>
>>> enabled = true
>>> filter = asterisk
>>> action = iptables-allports[name=ASTERISK, protocol=all]
>>> sendmail-whois[name=ASTERISK, dest=root, sender=
>>> alclicio em gmail.com] #aqui devo colocar meu email ?
>>> logpath = /var/log/asterisk/full
>>> maxretry = 3
>>> bantime = 259200
>>> *Maxretry *determina a quantidade de erros que o fail2ban vai aceitar
>>> de um determinado host antes de bani-lo.
>>>
>>> *O* *bantime* é em segundos, portanto neste caso qualquer tentativa de
>>> ataque ao asterisk será banida por 72 horas.
>>>
>>> Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT], no
>>> paramento ignoreip informe seu ip.
>>>
>>> Edite o */etc/asterisk/logger.conf* e defina o dateformat da seguinte
>>> forma.
>>>
>>> [general]
>>> dateformat=%F %T
>>>
>>> Na sessão [logfiles] você deve inserir a seguinte linha:
>>>
>>> syslog.local0 => notice
>>>
>>> Feito isso é só dar reload no logger
>>>
>>> asterisk -rx ”logger reload”
>>>
>>> Para verificar se o fail2ban subiu, basta rodar o seguinte comando:
>>>
>>> *iptables -L -v*
>>>
>>> As seguintes linhas devem aparecer:
>>>
>>> Chain fail2ban-ASTERISK (1 references)
>>> pkts bytes target prot opt in out source
>>> destination
>>> 6287K 1158M RETURN all – any any anywhere
>>> anywhere
>>>
>>> Estou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei
>>> autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda
>>> não está banindo.
>>>
>>> --
>>> ALCLICIO VIEIRA,
>>> ITIL® V3 Certification,
>>> Crea-DF 10476 Telecom
>>>
>>> Phone:55 (11) 3509-2505 - São Paulo
>>> Phone:55 (61) 4063-7110 - Brasília
>>> Phone:55 (62) 3416-7800 - Goiás
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP Inovação: External Board Series
>>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>>> FreeSWITCH.
>>> Tenha a External Series Experience na sua aplicação. Visite
>>> www.khomp.com
>>> _______________________________________________
>>> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
>>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>> Centro Treinamento - Curso de PABX IP - Asterisk - Site
>>> www.digivoice.com.br
>>> ________
>>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>>> mercado.
>>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>>> ______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>> _______________________________________________
>> KHOMP Inovação: External Board Series
>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>> FreeSWITCH.
>> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
>> _______________________________________________
>> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>> Centro Treinamento - Curso de PABX IP - Asterisk - Site
>> www.digivoice.com.br
>> ________
>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> --
> ALCLICIO VIEIRA,
> ITIL® V3 Certification,
> Crea-DF 10476 Telecom
>
> Phone:55 (11) 3509-2505 - São Paulo
> Phone:55 (61) 4063-7110 - Brasília
> Phone:55 (62) 3416-7800 - Goiás
>
>
>
>
> _______________________________________________
> KHOMP Inovação: External Board Series
> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
> FreeSWITCH.
> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
> _______________________________________________
> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP - Asterisk - Site
> www.digivoice.com.br
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120603/fd4d949d/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil