[AsteriskBrasil] RES: Fail2ban

Quarta Junho 6 19:38:22 BRT 2012

Um complemento......:
https://wiki.asterisk.org/wiki/display/AST/SIP+Security+Events

# ---------------------------------------------------------------
*Sylvio Carlos Jollenbeck Borin*
# ----------------------------------------------------------------

Em 6 de junho de 2012 17:00, Sylvio Carlos Jollenbeck
<sylvio.sdr em gmail.com>escreveu:

> Pessoal,
>
> Estou acompanhando esse tópico e vejo uma certa discordância logica para
> garantir a segurança do servidor. Não tenho nada contra o Fail2Ban, mas
> honestamente existem coisas melhores.
>
> Vamos entender o comportamento do fail2ban, após instalado e configurado
> ele começa a ler o log gerado pelo Asterisk, se após X tentativas de
> autenticação incorreta aplica-se a disciplina pelo IPTABLES.
>
> Até aqui lindo e maravilhoso, porem se o conjunto for mal configurado
> (fail2ban, log, asterisk, etc), bingo estamos dentro do asterisk e
> brincando de fazer chamadas para a Asia.
>
> Agora vamos nos colocar na cabeça do invasor, se ele faz o portscan em um
> determinado bloco de endereços públicos e alguns IP retornam as portas
> abertas, ele continuar tentando até entrar. Isso vale para o SIP, IAX e até
> mesmo o AMI.
>
> A cada tentativa que o camarada faz, é uma conexão realizada de onde o
> invasor esta com o seu servidor, vale lembrar que isso consome alguns Kb de
> sua banda de internet. Também a cada tentativa é mais um log gerado, mais
> uma linha analisada pelo fail2ban, mais consumo de processador, mais isso,
> mais aquilo.
>
> Diante de tudo isso, pergunto, por que não ir direto ao ponto ?
>
> Com uma simples alteração no chan_sip.c, você consegue inibir o invasor
> diretamente na fonte de problemas. Basta pegar qualquer evento de falha de
> autenticação e solicitar que o próprio channel aplique a regra de iptables.
> Não estou falando de AGI ou AMI, estou falando em modificar o chan_sip.c e
> deixar ele fazer o trabalho para você.
>
> Pois bem, o iptables deve permanecer ativo, protegendo seu servidor de
> portscan e as demais portas de comunicação, seja ICMP, TCP, UDP, etc. Desta
> forma vocês diminuem o processo de escrita de log, consumo de processamento
> para ler o log, etc....
>
> Ja postei essa solução na lista alguns meses atras. Mas se precisarem de
> ajuda estou a disposição.
>
> Abs
>
> Sylvio Jollenbeck
>
> # ---------------------------------------------------------------
> *Sylvio Carlos Jollenbeck Borin*
> # ----------------------------------------------------------------
>
>
> Em 6 de junho de 2012 15:15, Daviramos Roussenq Fortunato <
> daviramosrf em gmail.com> escreveu:
>
> Você pode ler a Documento e entender como o fail2ban funciona então
>> http://www.fail2ban.org/wiki/index.php/Main_Page
>>
>>
>>
>> Em 6 de junho de 2012 14:58, João Marcelo Queiroz <jmbq em bol.com.br>escreveu:
>>
>>
>>> Hudson,
>>>
>>> o problema não é no Fail2ban, e sim na forma em que o asterisk entrega
>>> os logs. Dependendo do tipo de ataque, o log não entrega o IP do atacante
>>> então não tem como barrar. O que deve ser feito é alterar a forma que o log
>>> DO ASTERISK é gerado e depois adaptar a configuração do fail2ban (que é
>>> simples) ao novo formato do log. Isso foi feito, mais ou menos, no asterisk
>>> 1.8.
>>>
>>> Ou seja, a informação que deveria ser entregue ao fail2ban não existe
>>> (ainda).
>>>
>>> Então, mesmo que você escreva essa implementação, ela não saberá onde
>>> buscar a informação, pois ela não existe (ainda).
>>>
>>>
>>> Abraço,
>>>
>>>
>>> João Marcelo Queiroz
>>>
>>>
>>> Em 06/06/2012, às 14:41, Hudson Cardoso escreveu:
>>>
>>>     Bom nesse caso, eu arrumaria a leitura dos logs, o problema é que
>>> nao
>>> encontrei nada na net que fale sobre eles.
>>>    Algo tecnico mesmo, pois tudo que achei um passo a passo pronto, e
>>> nem
>>> sempre isso é bom, eu gosto de aprender tudo que um sistema faz,
>>> e so um passo a passo nao me cheira bem...
>>>    Se voce souber de um tuto melhor para o fail2ban, otimo...
>>>
>>>
>>>
>>>
>>> Hudson
>>> 048 8413 7000
>>> 048 3039 8899 opcao 2
>>> www.easyteltelecom.com.br
>>>
>>> Para quem nao cre, nenhuma prova converte,
>>> Para aquele que cre, nenhuma prova precisa.
>>>
>>>
>>> > Date: Wed, 6 Jun 2012 14:29:47 -0300
>>> > From: rogerwinter em gmail.com
>>> > To: asteriskbrasil em listas.asteriskbrasil.org
>>> > Subject: Re: [AsteriskBrasil] RES: Fail2ban
>>> >
>>> > Opa!
>>> >
>>> > O Fail2Ban não tem problemas na leitura dos logs..
>>> > O que tem acontecido é os Logs não estarem de acordo com o o que ele
>>> espera..
>>> > Como acontece no Asterisk 1.8, que teve mudanças nos formados dos
>>> logs..
>>> > Nada que uns ajustes nas expressões não o façam funcionar
>>> adequadamente.
>>> >
>>> > Abraço.
>>> >
>>> > Em 6 de junho de 2012 14:25, Hudson Cardoso
>>> > <hudsoncardoso em hotmail.com> escreveu:
>>> > >    Sei disso, mas pelo que tenho visto aqui na lista, e em alguns
>>> blogs, e
>>> > > ate no site
>>> > > da Digium, é que o fail2ban nao esta atendendo as solicitacoes
>>> corretamente,
>>> > > esta
>>> > > com problemas em logs do asterisk.
>>> > >
>>> > >
>>> > >
>>> > > Hudson
>>> > > 048 8413 7000
>>> > > 048 3039 8899 opcao 2
>>> > > www.easyteltelecom.com.br
>>> > >
>>> > > Para quem nao cre, nenhuma prova converte,
>>> > > Para aquele que cre, nenhuma prova precisa.
>>> > >
>>> > >
>>> > >> From: root em thiagoc.net
>>> > >> Date: Wed, 6 Jun 2012 13:54:25 -0300
>>> > >
>>> > >> To: asteriskbrasil em listas.asteriskbrasil.org
>>> > >> Subject: Re: [AsteriskBrasil] RES: Fail2ban
>>> > >>
>>> > >> 2012/6/6 Hudson Cardoso <hudsoncardoso em hotmail.com>:
>>> > >> >    O que quero criar nao servira somente para o asterisk, os log
>>> do
>>> > >> > asterisk
>>> > >> > fica
>>> > >> > facil de conhecer, pois é uma ferramenta que usa C nas
>>> implementacoes.
>>> > >> > fica facil pra mim, mas nao conheco nada de linux, to engatinhando
>>> > >> > ainda...
>>> > >> > a ideia seria verificar todos os logs do sistema, e tomar decisoes
>>> > >> > segundo
>>> > >> > voce
>>> > >> > quiser, e colocar os ip banidos no IPTABLE, por isso quero a
>>> opiniao de
>>> > >> > quem
>>> > >> > entende de linux....
>>> > >>
>>> > >> É isso que o Fail2ban faz...
>>> > >>
>>> > >> --
>>> > >> thiagoc
>>> > >>
>>> > >> "O povo não deveria temer o governo. O governo é quem deveria temer
>>> o
>>> > >> povo."
>>> > >> V de Vingança
>>> > >> _______________________________________________
>>> > >> KHOMP Inovação: External Board Series
>>> > >> Módulos de 1/2 rack e 1U para todas as interfaces e soluções
>>> Asterisk e
>>> > >> FreeSWITCH.
>>> > >> Tenha a External Series Experience na sua aplicação. Visite
>>> www.khomp.com
>>> > >> _______________________________________________
>>> > >> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
>>> > >> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>> > >> Centro Treinamento - Curso de PABX IP - Asterisk - Site
>>> > >> www.digivoice.com.br
>>> > >> ________
>>> > >> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício
>>> do
>>> > >> mercado.
>>> > >> email: yealink em commlogik.com.br | www.commlogik.com.br | (11)
>>> 5503-1011
>>> > >> ______________________________________________
>>> > >> Para remover seu email desta lista, basta enviar um email em branco
>>> para
>>> > >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>> > >
>>> > > _______________________________________________
>>> > > KHOMP Inovação: External Board Series
>>> > > Módulos de 1/2 rack e 1U para todas as interfaces e soluções
>>> Asterisk e
>>> > > FreeSWITCH.
>>> > > Tenha a External Series Experience na sua aplicação. Visite
>>> www.khomp.com
>>> > > _______________________________________________
>>> > > DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>>> > > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>> > > Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>>> > >  www.digivoice.com.br
>>> > > ________
>>> > > YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício
>>> do
>>> > > mercado.
>>> > > email: yealink em commlogik.com.br | www.commlogik.com.br | (11)
>>> 5503-1011
>>> > > ______________________________________________
>>> > > Para remover seu email desta lista, basta enviar um email em branco
>>> para
>>> > > asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>> >
>>> >
>>> >
>>> > --
>>> > --
>>> > Roger Pitigliani
>>> > rogerwinter em gmail.com
>>> > Skype: roger.pitigliani
>>> > _______________________________________________
>>> > KHOMP Inovação: External Board Series
>>> > Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk
>>> e FreeSWITCH.
>>> > Tenha a External Series Experience na sua aplicação. Visite
>>> www.khomp.com
>>> > _______________________________________________
>>> > DIGIVOICE Fabricante de Placas de Voz e Channel Bank
>>> > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>> > Centro Treinamento - Curso de PABX IP - Asterisk - Site
>>> www.digivoice.com.br
>>> > ________
>>> > YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>>> mercado.
>>> > email: yealink em commlogik.com.br | www.commlogik.com.br | (11)
>>> 5503-1011
>>> > ______________________________________________
>>> > Para remover seu email desta lista, basta enviar um email em branco
>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>> _______________________________________________
>>> KHOMP Inovação: External Board Series
>>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>>> FreeSWITCH.
>>> Tenha a External Series Experience na sua aplicação. Visite
>>> www.khomp.com
>>> _______________________________________________
>>> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>>> www.digivoice.com.br
>>> ________
>>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>>> mercado.
>>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>>> ______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>>  asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP Inovação: External Board Series
>>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>>> FreeSWITCH.
>>> Tenha a External Series Experience na sua aplicação. Visite
>>> www.khomp.com
>>> _______________________________________________
>>> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>>> www.digivoice.com.br
>>> ________
>>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>>> mercado.
>>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>>> ______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>>
>> --
>> Atenciosamente
>> Daviramos Roussenq Fortunato
>>
>> _______________________________________________
>> KHOMP Inovação: External Board Series
>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>> FreeSWITCH.
>> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
>> _______________________________________________
>> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
>> www.digivoice.com.br
>> ________
>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120606/11e7025b/attachment-0001.htm 