Tenho sofrido várias tentativas de invasão via Brute force, seja de tentativas de login via ssh ou tentativa de login de ramal no asterisk, quanto ao ssh o fail2ban tem dado conta, porém gostaria de evitar essas tentativas de login no asterisk.
Alguém já bloqueou um range de IP´s internacionais (todas as tentativas são internacionais) via iptable? Abraços. De: asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto:asteriskbrasil-boun...@listas.asteriskbrasil.org] Em nome de Sylvio Carlos Jollenbeck Enviada em: quarta-feira, 6 de junho de 2012 19:38 Para: asteriskbrasil@listas.asteriskbrasil.org Assunto: Re: [AsteriskBrasil] RES: Fail2ban Um complemento......: https://wiki.asterisk.org/wiki/display/AST/SIP+Security+Events # --------------------------------------------------------------- Sylvio Carlos Jollenbeck Borin # ---------------------------------------------------------------- Em 6 de junho de 2012 17:00, Sylvio Carlos Jollenbeck <sylvio....@gmail.com> escreveu: Pessoal, Estou acompanhando esse tópico e vejo uma certa discordância logica para garantir a segurança do servidor. Não tenho nada contra o Fail2Ban, mas honestamente existem coisas melhores. Vamos entender o comportamento do fail2ban, após instalado e configurado ele começa a ler o log gerado pelo Asterisk, se após X tentativas de autenticação incorreta aplica-se a disciplina pelo IPTABLES. Até aqui lindo e maravilhoso, porem se o conjunto for mal configurado (fail2ban, log, asterisk, etc), bingo estamos dentro do asterisk e brincando de fazer chamadas para a Asia. Agora vamos nos colocar na cabeça do invasor, se ele faz o portscan em um determinado bloco de endereços públicos e alguns IP retornam as portas abertas, ele continuar tentando até entrar. Isso vale para o SIP, IAX e até mesmo o AMI. A cada tentativa que o camarada faz, é uma conexão realizada de onde o invasor esta com o seu servidor, vale lembrar que isso consome alguns Kb de sua banda de internet. Também a cada tentativa é mais um log gerado, mais uma linha analisada pelo fail2ban, mais consumo de processador, mais isso, mais aquilo. Diante de tudo isso, pergunto, por que não ir direto ao ponto ? Com uma simples alteração no chan_sip.c, você consegue inibir o invasor diretamente na fonte de problemas. Basta pegar qualquer evento de falha de autenticação e solicitar que o próprio channel aplique a regra de iptables. Não estou falando de AGI ou AMI, estou falando em modificar o chan_sip.c e deixar ele fazer o trabalho para você. Pois bem, o iptables deve permanecer ativo, protegendo seu servidor de portscan e as demais portas de comunicação, seja ICMP, TCP, UDP, etc. Desta forma vocês diminuem o processo de escrita de log, consumo de processamento para ler o log, etc.... Ja postei essa solução na lista alguns meses atras. Mas se precisarem de ajuda estou a disposição. Abs Sylvio Jollenbeck # --------------------------------------------------------------- Sylvio Carlos Jollenbeck Borin # ---------------------------------------------------------------- Em 6 de junho de 2012 15:15, Daviramos Roussenq Fortunato <daviramo...@gmail.com> escreveu: Você pode ler a Documento e entender como o fail2ban funciona então http://www.fail2ban.org/wiki/index.php/Main_Page Em 6 de junho de 2012 14:58, João Marcelo Queiroz <j...@bol.com.br> escreveu: Hudson, o problema não é no Fail2ban, e sim na forma em que o asterisk entrega os logs. Dependendo do tipo de ataque, o log não entrega o IP do atacante então não tem como barrar. O que deve ser feito é alterar a forma que o log DO ASTERISK é gerado e depois adaptar a configuração do fail2ban (que é simples) ao novo formato do log. Isso foi feito, mais ou menos, no asterisk 1.8. Ou seja, a informação que deveria ser entregue ao fail2ban não existe (ainda). Então, mesmo que você escreva essa implementação, ela não saberá onde buscar a informação, pois ela não existe (ainda). Abraço, João Marcelo Queiroz Em 06/06/2012, às 14:41, Hudson Cardoso escreveu: Bom nesse caso, eu arrumaria a leitura dos logs, o problema é que nao encontrei nada na net que fale sobre eles. Algo tecnico mesmo, pois tudo que achei um passo a passo pronto, e nem sempre isso é bom, eu gosto de aprender tudo que um sistema faz, e so um passo a passo nao me cheira bem... Se voce souber de um tuto melhor para o fail2ban, otimo... Hudson 048 8413 7000 <tel:048%208413%207000> 048 3039 8899 <tel:048%203039%208899> opcao 2 www.easyteltelecom.com.br Para quem nao cre, nenhuma prova converte, Para aquele que cre, nenhuma prova precisa. > Date: Wed, 6 Jun 2012 14:29:47 -0300 > From: rogerwin...@gmail.com > To: asteriskbrasil@listas.asteriskbrasil.org > Subject: Re: [AsteriskBrasil] RES: Fail2ban > > Opa! > > O Fail2Ban não tem problemas na leitura dos logs.. > O que tem acontecido é os Logs não estarem de acordo com o o que ele espera.. > Como acontece no Asterisk 1.8, que teve mudanças nos formados dos logs.. > Nada que uns ajustes nas expressões não o façam funcionar adequadamente. > > Abraço. > > Em 6 de junho de 2012 14:25, Hudson Cardoso > <hudsoncard...@hotmail.com> escreveu: > > Sei disso, mas pelo que tenho visto aqui na lista, e em alguns blogs, e > > ate no site > > da Digium, é que o fail2ban nao esta atendendo as solicitacoes corretamente, > > esta > > com problemas em logs do asterisk. > > > > > > > > Hudson > > 048 8413 7000 <tel:048%208413%207000> > > 048 3039 8899 <tel:048%203039%208899> opcao 2 > > www.easyteltelecom.com.br > > > > Para quem nao cre, nenhuma prova converte, > > Para aquele que cre, nenhuma prova precisa. > > > > > >> From: r...@thiagoc.net > >> Date: Wed, 6 Jun 2012 13:54:25 -0300 > > > >> To: asteriskbrasil@listas.asteriskbrasil.org > >> Subject: Re: [AsteriskBrasil] RES: Fail2ban > >> > >> 2012/6/6 Hudson Cardoso <hudsoncard...@hotmail.com>: > >> > O que quero criar nao servira somente para o asterisk, os log do > >> > asterisk > >> > fica > >> > facil de conhecer, pois é uma ferramenta que usa C nas implementacoes. > >> > fica facil pra mim, mas nao conheco nada de linux, to engatinhando > >> > ainda... > >> > a ideia seria verificar todos os logs do sistema, e tomar decisoes > >> > segundo > >> > voce > >> > quiser, e colocar os ip banidos no IPTABLE, por isso quero a opiniao de > >> > quem > >> > entende de linux.... > >> > >> É isso que o Fail2ban faz... > >> > >> -- > >> thiagoc > >> > >> "O povo não deveria temer o governo. O governo é quem deveria temer o > >> povo." > >> V de Vingança > >> _______________________________________________ > >> KHOMP Inovação: External Board Series > >> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e > >> FreeSWITCH. > >> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com > >> _______________________________________________ > >> DIGIVOICE Fabricante de Placas de Voz e Channel Bank > >> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM > >> Centro Treinamento - Curso de PABX IP - Asterisk - Site > >> www.digivoice.com.br > >> ________ > >> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do > >> mercado. > >> email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 <tel:%2811%29%205503-1011> > >> ______________________________________________ > >> Para remover seu email desta lista, basta enviar um email em branco para > >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > > > _______________________________________________ > > KHOMP Inovação: External Board Series > > Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e > > FreeSWITCH. > > Tenha a External Series Experience na sua aplicação. Visite www.khomp.com > > _______________________________________________ > > DIGIVOICE Fabricante de Placas de Voz e Channel Bank > > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM > > Centro Treinamento - Curso de PABX IP - Asterisk - Site > > www.digivoice.com.br > > ________ > > YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do > > mercado. > > email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 <tel:%2811%29%205503-1011> > > ______________________________________________ > > Para remover seu email desta lista, basta enviar um email em branco para > > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > > > -- > -- > Roger Pitigliani > rogerwin...@gmail.com > Skype: roger.pitigliani > _______________________________________________ > KHOMP Inovação: External Board Series > Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH. > Tenha a External Series Experience na sua aplicação. Visite www.khomp.com > _______________________________________________ > DIGIVOICE Fabricante de Placas de Voz e Channel Bank > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM > Centro Treinamento - Curso de PABX IP - Asterisk - Site www.digivoice.com.br > ________ > YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado. > email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 <tel:%2811%29%205503-1011> > ______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org _______________________________________________ KHOMP Inovação: External Board Series Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH. Tenha a External Series Experience na sua aplicação. Visite www.khomp.com _______________________________________________ DIGIVOICE Fabricante de Placas de Voz e Channel Bank 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM Centro Treinamento - Curso de PABX IP - Asterisk - Site www.digivoice.com.br ________ YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado. email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 <tel:%2811%29%205503-1011> ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org _______________________________________________ KHOMP Inovação: External Board Series Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH. Tenha a External Series Experience na sua aplicação. Visite www.khomp.com _______________________________________________ DIGIVOICE Fabricante de Placas de Voz e Channel Bank 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM Centro Treinamento - Curso de PABX IP - Asterisk - Site www.digivoice.com.br ________ YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado. email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 <tel:%2811%29%205503-1011> ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Atenciosamente Daviramos Roussenq Fortunato _______________________________________________ KHOMP Inovação: External Board Series Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH. Tenha a External Series Experience na sua aplicação. Visite www.khomp.com _______________________________________________ DIGIVOICE Fabricante de Placas de Voz e Channel Bank 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM Centro Treinamento - Curso de PABX IP - Asterisk - Site www.digivoice.com.br ________ YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado. email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org _____ Nenhum vírus encontrado nessa mensagem. Verificado por AVG - www.avgbrasil.com.br Versão: 2012.0.2178 / Banco de dados de vírus: 2433/5052 - Data de Lançamento: 06/06/12
_______________________________________________ KHOMP Inovação: External Board Series Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH. Tenha a External Series Experience na sua aplicação. Visite www.khomp.com _______________________________________________ DIGIVOICE Fabricante de Placas de Voz e Channel Bank 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM Centro Treinamento - Curso de PABX IP - Asterisk - Site www.digivoice.com.br ________ YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado. email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org