Re: [AsteriskBrasil] Fail2ban

[Hudson Cardoso]

encontrei isso.
http://www.fail2ban.org/wiki/index.php/Talk:Asterisk 
mas no rodape fala :
Fail2ban can not be used w/Asterisk simply because Asterisk does not log enough 
info for fail2ban to take action. More 
info:http://forums.asterisk.org/viewtopic.php?p=159984 There should be a big 
disclaimer warning users about this issue. 
Alertar a todos ? nao tem informacao suficiente ? alguem sabe de mais alguma 
coisa de fail2ban ?


Hudson 
048 8413 7000048 3039 8899 opcao 2www.easyteltelecom.com.br
Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova 
precisa.

Date: Mon, 4 Jun 2012 21:02:09 -0300
From: alcli...@gmail.com
To: asteriskbrasil@listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Fail2ban

Perfeito cara,
Só foi alterar isso e tudo certo veja o resultado e email no email do servidor 
que recebi
=============================================================Hi,



The IP 201.47.170.59 has just been banned by Fail2Ban after
4 attempts against ASTERISK.


Here are more information about 201.47.170.59:





Regards,

Fail2Ban
=============================================================


\0/ ..... Valeu


Em 4 de junho de 2012 19:44, Roger Pitigliani <rogerwin...@gmail.com> escreveu:


Alclicio,



o Elastix 2.3 utiliza o Asterisk 1.8 (Se não for instalado via update

de versões anteriores)...

Então, no asterisk 1.8 o log gerado no arquivo

"/var/log/asterisk/full" está com uma modificação, pois junto com o

host vem a porta da conexão (<HOST:PORTA>).



Para que funcione vc tem que alterar as expressões no seu

"/etc/fail2ban/filter.d/asterisk.conf" conforme abaixo:

Caso contrário o fail2ban roda, porém não faz nenhum tipo de bloqueio,

pois as linhas no log estão diferentes do que ele espera/procura.



==========

Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password

Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching

peer found

Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' -

Username/auth name mismatch

Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does

not match ACL

Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not

supposed to register

==========



Referência:

http://www.fail2ban.org/wiki/index.php/Talk:Asterisk



Espero que o ajude.

Abraço





-

Roger Pitigliani

rogerwin...@gmail.com

Porto Alegre - RS







Em 3 de junho de 2012 14:53, Alclicio Vieira <alcli...@gmail.com> escreveu:

>

> Pessoal,

>

> Segui esse tutorial, porém ainda aparentemente ainda não está funcionando o 
> Fail2ban

>

>

> ##########################################################################

>

> Configurando o Fail2Ban

>

> Agora nós precisamos fazer com que o fail2ban seja capaz de identificar 
> ataques contra o asterisk.

>

> Os arquivos de configuração ficam em: /etc/fail2ban/filter.d

>

> Vamos criar aqui um arquivo para o asterisk.

>

> #touch asterisk.conf

>

> Este arquivo deve conter o seguinte:

>

> [INCLUDES]

>

> [Definition]

> failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Wrong 
> password

>             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – No 
> matching peer found

>             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – 
> Username/auth name mismatch

>             NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Device 
> does not match ACL

>             NOTICE.* <HOST> failed to authenticate as ‘.*’$

>             NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)

>             NOTICE.* .*: Host <HOST> failed MD5 authentication for ‘.*’ (.*)

>             NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

> ignoreregex =

>

> No aquivo /etc/fail2ban/jail.conf  inclua as seguintes linhas:

>

> [asterisk-iptables]

>

> enabled  = true

> filter   = asterisk

> action   = iptables-allports[name=ASTERISK, protocol=all]

>            sendmail-whois[name=ASTERISK, dest=root, 
> sender=alcli...@gmail.com] #aqui devo colocar meu email ?

> logpath  = /var/log/asterisk/full

> maxretry = 3

> bantime = 259200

> Maxretry determina a quantidade de erros que o fail2ban vai aceitar de um 
> determinado host antes de bani-lo.

>

> O bantime é em segundos, portanto neste caso qualquer tentativa de ataque ao 
> asterisk será banida por 72 horas.

>

> Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT], no 
> paramento ignoreip informe seu ip.

>

> Edite o /etc/asterisk/logger.conf e defina o dateformat da seguinte forma.

>

>  [general]

> dateformat=%F %T

>

> Na sessão [logfiles] você deve inserir a seguinte linha:

>

> syslog.local0 => notice

>

> Feito isso é só dar reload no logger

>

> asterisk -rx ”logger reload”

>

> Para verificar se o fail2ban subiu, basta rodar o seguinte comando:

>

> iptables -L -v

>

> As seguintes linhas devem aparecer:

>

> Chain fail2ban-ASTERISK (1 references)

>  pkts bytes target     prot opt in     out     source               
> destination

> 6287K 1158M RETURN     all  –  any    any     anywhere             anywhere

>

>

> Estou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei 
> autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda 
> não está banindo.

>

> --

> ALCLICIO VIEIRA,

> ITIL® V3 Certification,

> Crea-DF 10476 Telecom

>

> Phone:55 (11) 3509-2505 - São Paulo

> Phone:55 (61) 4063-7110 - Brasília

> Phone:55 (62) 3416-7800 - Goiás

>

>

>

>

> _______________________________________________

> KHOMP Inovação: External Board Series

> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e 
> FreeSWITCH.

> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com

> _______________________________________________

> DIGIVOICE  Fabricante de Placas de Voz e Channel Bank

> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM

> Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  
> www.digivoice.com.br

> ________

> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do 
> mercado.

> email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011



> ______________________________________________

> Para remover seu email desta lista, basta enviar um email em branco para 
> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org










--

--

Roger Pitigliani

rogerwin...@gmail.com

Skype: roger.pitigliani

_______________________________________________

KHOMP Inovação: External Board Series

Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e 
FreeSWITCH.

Tenha a External Series Experience na sua aplicação. Visite www.khomp.com

_______________________________________________

DIGIVOICE  Fabricante de Placas de Voz e Channel Bank

20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM

Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br

________

YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.

email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011



______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para 
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org



-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo

Phone:55 (61) 4063-7110 - Brasília

Phone:55 (62) 3416-7800 - Goiás   








_______________________________________________
KHOMP Inova��o: External Board Series
M�dulos de 1/2 rack e 1U para todas as interfaces e solu��es Asterisk e 
FreeSWITCH.
Tenha a External Series Experience na sua aplica��o. Visite�www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experi�ncia com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
________
YEALINK: Telefones IP e V�deoPhones IP com o melhor custo/benef�cio do mercado.
email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para 
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org                            
         
_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e 
FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.
email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para 
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org