[AsteriskBrasil] RES: RES: Fail2ban

Denis de Carvalho Leal denis em gravacaotelefonica.com.br
Sexta Junho 8 11:02:39 BRT 2012


Tenho sofrido várias tentativas de invasão via Brute force, seja de
tentativas de login via ssh ou tentativa de login de ramal no asterisk,
quanto ao ssh o fail2ban tem dado conta, porém gostaria de evitar essas
tentativas de login no asterisk.

 

Alguém já bloqueou um range de IP´s internacionais (todas as tentativas são
internacionais) via iptable?

 

Abraços.

 

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Sylvio
Carlos Jollenbeck
Enviada em: quarta-feira, 6 de junho de 2012 19:38
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] RES: Fail2ban

 

Um complemento......:
https://wiki.asterisk.org/wiki/display/AST/SIP+Security+Events 


# ---------------------------------------------------------------
Sylvio Carlos Jollenbeck Borin
# ----------------------------------------------------------------



Em 6 de junho de 2012 17:00, Sylvio Carlos Jollenbeck <sylvio.sdr em gmail.com>
escreveu:

Pessoal,

 

Estou acompanhando esse tópico e vejo uma certa discordância logica para
garantir a segurança do servidor. Não tenho nada contra o Fail2Ban, mas
honestamente existem coisas melhores.

 

Vamos entender o comportamento do fail2ban, após instalado e configurado ele
começa a ler o log gerado pelo Asterisk, se após X tentativas de
autenticação incorreta aplica-se a disciplina pelo IPTABLES.

 

Até aqui lindo e maravilhoso, porem se o conjunto for mal configurado
(fail2ban, log, asterisk, etc), bingo estamos dentro do asterisk e brincando
de fazer chamadas para a Asia.

 

Agora vamos nos colocar na cabeça do invasor, se ele faz o portscan em um
determinado bloco de endereços públicos e alguns IP retornam as portas
abertas, ele continuar tentando até entrar. Isso vale para o SIP, IAX e até
mesmo o AMI.

 

A cada tentativa que o camarada faz, é uma conexão realizada de onde o
invasor esta com o seu servidor, vale lembrar que isso consome alguns Kb de
sua banda de internet. Também a cada tentativa é mais um log gerado, mais
uma linha analisada pelo fail2ban, mais consumo de processador, mais isso,
mais aquilo.

 

Diante de tudo isso, pergunto, por que não ir direto ao ponto ?

 

Com uma simples alteração no chan_sip.c, você consegue inibir o invasor
diretamente na fonte de problemas. Basta pegar qualquer evento de falha de
autenticação e solicitar que o próprio channel aplique a regra de iptables.
Não estou falando de AGI ou AMI, estou falando em modificar o chan_sip.c e
deixar ele fazer o trabalho para você.

 

Pois bem, o iptables deve permanecer ativo, protegendo seu servidor de
portscan e as demais portas de comunicação, seja ICMP, TCP, UDP, etc. Desta
forma vocês diminuem o processo de escrita de log, consumo de processamento
para ler o log, etc....

 

Ja postei essa solução na lista alguns meses atras. Mas se precisarem de
ajuda estou a disposição.

 

Abs

 

Sylvio Jollenbeck


# ---------------------------------------------------------------
Sylvio Carlos Jollenbeck Borin
# ----------------------------------------------------------------



Em 6 de junho de 2012 15:15, Daviramos Roussenq Fortunato
<daviramosrf em gmail.com> escreveu:

 

Você pode ler a Documento e entender como o fail2ban funciona então
http://www.fail2ban.org/wiki/index.php/Main_Page 

 

 

Em 6 de junho de 2012 14:58, João Marcelo Queiroz <jmbq em bol.com.br>
escreveu:

 

 

Hudson,

 

o problema não é no Fail2ban, e sim na forma em que o asterisk entrega os
logs. Dependendo do tipo de ataque, o log não entrega o IP do atacante então
não tem como barrar. O que deve ser feito é alterar a forma que o log DO
ASTERISK é gerado e depois adaptar a configuração do fail2ban (que é
simples) ao novo formato do log. Isso foi feito, mais ou menos, no asterisk
1.8.

 

Ou seja, a informação que deveria ser entregue ao fail2ban não existe
(ainda).

 

Então, mesmo que você escreva essa implementação, ela não saberá onde buscar
a informação, pois ela não existe (ainda).

 

 

Abraço,

 

 

João Marcelo Queiroz

 

 

Em 06/06/2012, às 14:41, Hudson Cardoso escreveu:





   Bom nesse caso, eu arrumaria a leitura dos logs, o problema é que nao 

encontrei nada na net que fale sobre eles.

   Algo tecnico mesmo, pois tudo que achei um passo a passo pronto, e nem 

sempre isso é bom, eu gosto de aprender tudo que um sistema faz,

e so um passo a passo nao me cheira bem...

   Se voce souber de um tuto melhor para o fail2ban, otimo...





 

Hudson 
048 8413 7000 <tel:048%208413%207000> 

048 3039 8899 <tel:048%203039%208899>  opcao 2

www.easyteltelecom.com.br

 

Para quem nao cre, nenhuma prova converte,

Para aquele que cre, nenhuma prova precisa.

 

> Date: Wed, 6 Jun 2012 14:29:47 -0300
> From: rogerwinter em gmail.com
> To: asteriskbrasil em listas.asteriskbrasil.org
> Subject: Re: [AsteriskBrasil] RES: Fail2ban
> 
> Opa!
> 
> O Fail2Ban não tem problemas na leitura dos logs..
> O que tem acontecido é os Logs não estarem de acordo com o o que ele
espera..
> Como acontece no Asterisk 1.8, que teve mudanças nos formados dos logs..
> Nada que uns ajustes nas expressões não o façam funcionar adequadamente.
> 
> Abraço.
> 
> Em 6 de junho de 2012 14:25, Hudson Cardoso
> <hudsoncardoso em hotmail.com> escreveu:
> >    Sei disso, mas pelo que tenho visto aqui na lista, e em alguns blogs,
e
> > ate no site
> > da Digium, é que o fail2ban nao esta atendendo as solicitacoes
corretamente,
> > esta
> > com problemas em logs do asterisk.
> >
> >
> >
> > Hudson
> > 048 8413 7000 <tel:048%208413%207000> 
> > 048 3039 8899 <tel:048%203039%208899>  opcao 2
> > www.easyteltelecom.com.br
> >
> > Para quem nao cre, nenhuma prova converte,
> > Para aquele que cre, nenhuma prova precisa.
> >
> >
> >> From: root em thiagoc.net
> >> Date: Wed, 6 Jun 2012 13:54:25 -0300
> >
> >> To: asteriskbrasil em listas.asteriskbrasil.org
> >> Subject: Re: [AsteriskBrasil] RES: Fail2ban
> >>
> >> 2012/6/6 Hudson Cardoso <hudsoncardoso em hotmail.com>:
> >> >    O que quero criar nao servira somente para o asterisk, os log do
> >> > asterisk
> >> > fica
> >> > facil de conhecer, pois é uma ferramenta que usa C nas
implementacoes.
> >> > fica facil pra mim, mas nao conheco nada de linux, to engatinhando
> >> > ainda...
> >> > a ideia seria verificar todos os logs do sistema, e tomar decisoes
> >> > segundo
> >> > voce
> >> > quiser, e colocar os ip banidos no IPTABLE, por isso quero a opiniao
de
> >> > quem
> >> > entende de linux....
> >>
> >> É isso que o Fail2ban faz...
> >>
> >> --
> >> thiagoc
> >>
> >> "O povo não deveria temer o governo. O governo é quem deveria temer o
> >> povo."
> >> V de Vingança
> >> _______________________________________________
> >> KHOMP Inovação: External Board Series
> >> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
> >> FreeSWITCH.
> >> Tenha a External Series Experience na sua aplicação. Visite
www.khomp.com
> >> _______________________________________________
> >> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
> >> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> >> Centro Treinamento - Curso de PABX IP - Asterisk - Site
> >> www.digivoice.com.br
> >> ________
> >> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> >> mercado.
> >> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
<tel:%2811%29%205503-1011> 
> >> ______________________________________________
> >> Para remover seu email desta lista, basta enviar um email em branco
para
> >> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> >
> > _______________________________________________
> > KHOMP Inovação: External Board Series
> > Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
> > FreeSWITCH.
> > Tenha a External Series Experience na sua aplicação. Visite
www.khomp.com
> > _______________________________________________
> > DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
> > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> > Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
> >  www.digivoice.com.br
> > ________
> > YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> > mercado.
> > email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
<tel:%2811%29%205503-1011> 
> > ______________________________________________
> > Para remover seu email desta lista, basta enviar um email em branco para
> > asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> 
> 
> 
> -- 
> --
> Roger Pitigliani
> rogerwinter em gmail.com
> Skype: roger.pitigliani
> _______________________________________________
> KHOMP Inovação: External Board Series
> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
FreeSWITCH.
> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
> _______________________________________________
> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP - Asterisk - Site
www.digivoice.com.br
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
<tel:%2811%29%205503-1011> 
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
www.digivoice.com.br
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
<tel:%2811%29%205503-1011> 
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

 


_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
www.digivoice.com.br
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
<tel:%2811%29%205503-1011> 
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org





 

-- 
Atenciosamente
Daviramos Roussenq Fortunato


_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site
www.digivoice.com.br
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
mercado.
email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

 

 

  _____  

Nenhum vírus encontrado nessa mensagem.
Verificado por AVG - www.avgbrasil.com.br
Versão: 2012.0.2178 / Banco de dados de vírus: 2433/5052 - Data de
Lançamento: 06/06/12

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120608/f1c7f9b4/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil