Re: [AsteriskBrasil] Fail2ban

[Hudson Cardoso]

   Fiz a mesma coisa, e tambem nao tive sucesso....alias wrong password tem de 
monte na minha vm....e ja segui uns 10 tutos de fail2ban, no vivaolinux tem 
bastante.mas nao obtive sucesso, inclusive experimentei com o asterisknow, e 
foi a mesma coisa, com certeza é caca nossa...mas se alguem puder esclarecer 
como funciona, talvez fique mais facil...


Hudson 
048 8413 7000048 3039 8899 opcao 2www.easyteltelecom.com.br
Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova 
precisa.

Date: Sun, 3 Jun 2012 14:53:51 -0300
From: alcli...@gmail.com
To: asteriskbrasil@listas.asteriskbrasil.org
Subject: [AsteriskBrasil] Fail2ban

Pessoal,
Segui esse tutorial, porém ainda aparentemente ainda não está funcionando o 
Fail2ban

##########################################################################

Configurando o Fail2Ban
Agora nós precisamos fazer com que o fail2ban seja capaz de identificar ataques 
contra o asterisk.
Os arquivos de configuração ficam em: /etc/fail2ban/filter.d
Vamos criar aqui um arquivo para o asterisk.
#touch asterisk.confEste arquivo deve conter o seguinte:
[INCLUDES]
[Definition]
failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Wrong 
password
            NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – No 
matching peer found
            NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – 
Username/auth name mismatch

            NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ – Device 
does not match ACL
            NOTICE.* <HOST> failed to authenticate as ‘.*’$
            NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)

            NOTICE.* .*: Host <HOST> failed MD5 authentication for ‘.*’ (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
ignoreregex =
No aquivo /etc/fail2ban/jail.conf  inclua as seguintes linhas:
[asterisk-iptables]enabled  = true

filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=root, sender=alcli...@gmail.com] 
#aqui devo colocar meu email ?

logpath  = /var/log/asterisk/full
maxretry = 3
bantime = 259200

Maxretry determina a quantidade de erros que o fail2ban vai aceitar de um 
determinado host antes de bani-lo.
O bantime é em segundos, portanto neste caso qualquer tentativa de ataque ao 
asterisk será banida por 72 horas.
Para não banir você mesmo, no jail.conf, procure pela tag [DEFAULT], no 
paramento ignoreip informe seu ip.
Edite o /etc/asterisk/logger.conf e defina o dateformat da seguinte forma.
 [general]
dateformat=%F %T
Na sessão [logfiles] você deve inserir a seguinte linha:
syslog.local0 => noticeFeito isso é só dar reload no logger
asterisk -rx ”logger reload”
Para verificar se o fail2ban subiu, basta rodar o seguinte comando:
iptables -L -vAs seguintes linhas devem aparecer:
Chain fail2ban-ASTERISK (1 references)
 pkts bytes target     prot opt in     out     source               destination

6287K 1158M RETURN     all  –  any    any     anywhere             
anywhereEstou configurando no elastix 2.3.0, tem algo a mais a fazer? tentei 
autenticar um ramal externo com a senha errada por mais de 3 vezes e ainda não 
está banindo.

-- 
ALCLICIO VIEIRA,
ITIL® V3 Certification,
Crea-DF 10476 Telecom

Phone:55 (11) 3509-2505 - São Paulo
Phone:55 (61) 4063-7110 - Brasília
Phone:55 (62) 3416-7800 - Goiás   







_______________________________________________
KHOMP Inova��o: External Board Series
M�dulos de 1/2 rack e 1U para todas as interfaces e solu��es Asterisk e 
FreeSWITCH.
Tenha a External Series Experience na sua aplica��o. Visite�www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experi�ncia com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
________
YEALINK: Telefones IP e V�deoPhones IP com o melhor custo/benef�cio do mercado.
email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para 
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org                            
         
_______________________________________________
KHOMP Inovação: External Board Series
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e 
FreeSWITCH.
Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
_______________________________________________
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  www.digivoice.com.br
________
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.
email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para 
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org