[AsteriskBrasil] Fail2ban

Mike Tesliuk mike em tesliuk.com
Quarta Junho 6 11:00:01 BRT 2012


na verdade para ataques o fail2ban é bem util, mas se por um acaso 
alguem conseguir acesso ao sevidor antes do bloqueio ele poderá fazer as 
chamadas e gerar um bom prejuizo financeiro, então scripts para tentar 
achar chamadas fora de padrão é interessante, você conhecendo o perfil 
dos usuários você pode definir um padrão aceitavel pras chamadas, ex: se 
você tem um pabx, e a media de chamadas é de 3 a 4 chamadas simultaneas 
com media de 5 minutos, com certeza 30 chamadas simultaneas em up a mais 
de 10 minutos é fora de padrão, ou então o disparo de 300 chamadas em 
menos de 1 minutos, este tipo de coisa


Em 06-06-2012 10:49, Hudson Cardoso escreveu:
>
> Achei isso tambem.... Falso senso de seguranca....
> http://forums.asterisk.org/viewtopic.php?p=159984
>
> Vou fazer meu proprio fail2ban
>
>
> Hudson
> 048 8413 7000
> 048 3039 8899 opcao 2
> www.easyteltelecom.com.br
>
> Para quem nao cre, nenhuma prova converte,
> Para aquele que cre, nenhuma prova precisa.
>
>
> ------------------------------------------------------------------------
> Date: Mon, 4 Jun 2012 21:02:09 -0300
> From: alclicio em gmail.com
> To: asteriskbrasil em listas.asteriskbrasil.org
> Subject: Re: [AsteriskBrasil] Fail2ban
>
> Perfeito cara,
>
> Só foi alterar isso e tudo certo veja o resultado e email no email do 
> servidor que recebi
>
> =============================================================
> Hi,
>
> The IP 201.47.170.59 has just been banned by Fail2Ban after
> 4 attempts against ASTERISK.
>
>
> Here are more information about 201.47.170.59 <http://201.47.170.59/>:
>
>
>
> Regards,
>
> Fail2Ban
> =============================================================
>
>
>
> \0/ ..... Valeu
>
>
> Em 4 de junho de 2012 19:44, Roger Pitigliani <rogerwinter em gmail.com 
> <mailto:rogerwinter em gmail.com>> escreveu:
>
>     Alclicio,
>
>     o Elastix 2.3 utiliza o Asterisk 1.8 (Se não for instalado via update
>     de versões anteriores)...
>     Então, no asterisk 1.8 o log gerado no arquivo
>     "/var/log/asterisk/full" está com uma modificação, pois junto com o
>     host vem a porta da conexão (<HOST:PORTA>).
>
>     Para que funcione vc tem que alterar as expressões no seu
>     "/etc/fail2ban/filter.d/asterisk.conf" conforme abaixo:
>     Caso contrário o fail2ban roda, porém não faz nenhum tipo de bloqueio,
>     pois as linhas no log estão diferentes do que ele espera/procura.
>
>     ==========
>     Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong
>     password
>     Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching
>     peer found
>     Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' -
>     Username/auth name mismatch
>     Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does
>     not match ACL
>     Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not
>     supposed to register
>     ==========
>
>     Referência:
>     http://www.fail2ban.org/wiki/index.php/Talk:Asterisk
>
>     Espero que o ajude.
>     Abraço
>
>
>     -
>     Roger Pitigliani
>     rogerwinter em gmail.com <mailto:rogerwinter em gmail.com>
>     Porto Alegre - RS
>
>
>
>     Em 3 de junho de 2012 14:53, Alclicio Vieira <alclicio em gmail.com
>     <mailto:alclicio em gmail.com>> escreveu:
>     >
>     > Pessoal,
>     >
>     > Segui esse tutorial, porém ainda aparentemente ainda não está
>     funcionando o Fail2ban
>     >
>     >
>     >
>     ##########################################################################
>     >
>     > Configurando o Fail2Ban
>     >
>     > Agora nós precisamos fazer com que o fail2ban seja capaz de
>     identificar ataques contra o asterisk.
>     >
>     > Os arquivos de configuração ficam em: /etc/fail2ban/filter.d
>     >
>     > Vamos criar aqui um arquivo para o asterisk.
>     >
>     > #touch asterisk.conf
>     >
>     > Este arquivo deve conter o seguinte:
>     >
>     > [INCLUDES]
>     >
>     > [Definition]
>     > failregex = NOTICE.* .*: Registration from '.*' failed for
>     '<HOST>' -- Wrong password
>     >             NOTICE.* .*: Registration from '.*' failed for
>     '<HOST>' -- No matching peer found
>     >             NOTICE.* .*: Registration from '.*' failed for
>     '<HOST>' -- Username/auth name mismatch
>     >             NOTICE.* .*: Registration from '.*' failed for
>     '<HOST>' -- Device does not match ACL
>     >             NOTICE.* <HOST> failed to authenticate as '.*'$
>     >             NOTICE.* .*: No registration for peer '.*' \(from
>     <HOST>\)
>     >             NOTICE.* .*: Host <HOST> failed MD5 authentication
>     for '.*' (.*)
>     >             NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
>     > ignoreregex =
>     >
>     > No aquivo /etc/fail2ban/jail.conf  inclua as seguintes linhas:
>     >
>     > [asterisk-iptables]
>     >
>     > enabled  = true
>     > filter   = asterisk
>     > action   = iptables-allports[name=ASTERISK, protocol=all]
>     >            sendmail-whois[name=ASTERISK, dest=root,
>     sender=alclicio em gmail.com <mailto:alclicio em gmail.com>] #aqui devo
>     colocar meu email ?
>     > logpath  = /var/log/asterisk/full
>     > maxretry = 3
>     > bantime = 259200
>     > Maxretry determina a quantidade de erros que o fail2ban vai
>     aceitar de um determinado host antes de bani-lo.
>     >
>     > O bantime é em segundos, portanto neste caso qualquer tentativa
>     de ataque ao asterisk será banida por 72 horas.
>     >
>     > Para não banir você mesmo, no jail.conf, procure pela tag
>     [DEFAULT], no paramento ignoreip informe seu ip.
>     >
>     > Edite o /etc/asterisk/logger.conf e defina o dateformat da
>     seguinte forma.
>     >
>     >  [general]
>     > dateformat=%F %T
>     >
>     > Na sessão [logfiles] você deve inserir a seguinte linha:
>     >
>     > syslog.local0 => notice
>     >
>     > Feito isso é só dar reload no logger
>     >
>     > asterisk -rx "logger reload"
>     >
>     > Para verificar se o fail2ban subiu, basta rodar o seguinte comando:
>     >
>     > iptables -L -v
>     >
>     > As seguintes linhas devem aparecer:
>     >
>     > Chain fail2ban-ASTERISK (1 references)
>     >  pkts bytes target     prot opt in     out    
>     source               destination
>     > 6287K 1158M RETURN     all  --  any    any    
>     anywhere             anywhere
>     >
>     >
>     > Estou configurando no elastix 2.3.0, tem algo a mais a fazer?
>     tentei autenticar um ramal externo com a senha errada por mais de
>     3 vezes e ainda não está banindo.
>     >
>     > --
>     > ALCLICIO VIEIRA,
>     > ITIL® V3 Certification,
>     > Crea-DF 10476 Telecom
>     >
>     > Phone:55 (11) 3509-2505 - São Paulo
>     > Phone:55 (61) 4063-7110 - Brasília
>     > Phone:55 (62) 3416-7800 - Goiás
>     >
>     >
>     >
>     >
>     > _______________________________________________
>     > KHOMP Inovação: External Board Series
>     > Módulos de 1/2 rack e 1U para todas as interfaces e soluções
>     Asterisk e FreeSWITCH.
>     > Tenha a External Series Experience na sua aplicação. Visite
>     www.khomp.com <http://www.khomp.com>
>     > _______________________________________________
>     > DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>     > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>     > Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>     www.digivoice.com.br <http://www.digivoice.com.br>
>     > ________
>     > YEALINK: Telefones IP e VídeoPhones IP com o melhor
>     custo/benefício do mercado.
>     > email: yealink em commlogik.com.br
>     <mailto:yealink em commlogik.com.br> | www.commlogik.com.br
>     <http://www.commlogik.com.br> | (11) 5503-1011
>     > ______________________________________________
>     > Para remover seu email desta lista, basta enviar um email em
>     branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>     <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
>     --
>     --
>     Roger Pitigliani
>     rogerwinter em gmail.com <mailto:rogerwinter em gmail.com>
>     Skype: roger.pitigliani
>     _______________________________________________
>     KHOMP Inovação: External Board Series
>     Módulos de 1/2 rack e 1U para todas as interfaces e soluções
>     Asterisk e FreeSWITCH.
>     Tenha a External Series Experience na sua aplicação. Visite
>     www.khomp.com <http://www.khomp.com>
>     _______________________________________________
>     DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>     20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>     Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>     www.digivoice.com.br <http://www.digivoice.com.br>
>     ________
>     YEALINK: Telefones IP e VídeoPhones IP com o melhor
>     custo/benefício do mercado.
>     email: yealink em commlogik.com.br <mailto:yealink em commlogik.com.br>
>     | www.commlogik.com.br <http://www.commlogik.com.br> | (11) 5503-1011
>     ______________________________________________
>     Para remover seu email desta lista, basta enviar um email em
>     branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>     <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> -- 
> ALCLICIO VIEIRA,
> ITIL® V3 Certification,
> Crea-DF 10476 Telecom
>
> Phone:55 (11) 3509-2505 - São Paulo
> Phone:55 (61) 4063-7110 - Brasília
> Phone:55 (62) 3416-7800 - Goiás
>
>
>
>
> _______________________________________________ KHOMP Inova??o: 
> External Board Series M?dulos de 1/2 rack e 1U para todas as 
> interfaces e solu??es Asterisk e FreeSWITCH. Tenha a External Series 
> Experience na sua aplica??o. Visite?www.khomp.com 
> _______________________________________________ DIGIVOICE Fabricante 
> de Placas de Voz e Channel Bank 20 anos de experi?ncia com 
> E1(R2/ISDN), FXS, FXO e GSM Centro Treinamento - Curso de PABX IP - 
> Asterisk - Site www.digivoice.com.br ________ YEALINK: Telefones IP e 
> V?deoPhones IP com o melhor custo/benef?cio do mercado. email: 
> yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 
> ______________________________________________ Para remover seu email 
> desta lista, basta enviar um email em branco para 
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
> _______________________________________________
> KHOMP Inovação: External Board Series
> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.
> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
> _______________________________________________
> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120606/1f31ec0b/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil