Um complemento......: https://wiki.asterisk.org/wiki/display/AST/SIP+Security+Events
# --------------------------------------------------------------- *Sylvio Carlos Jollenbeck Borin* # ---------------------------------------------------------------- Em 6 de junho de 2012 17:00, Sylvio Carlos Jollenbeck <sylvio....@gmail.com>escreveu: > Pessoal, > > Estou acompanhando esse tópico e vejo uma certa discordância logica para > garantir a segurança do servidor. Não tenho nada contra o Fail2Ban, mas > honestamente existem coisas melhores. > > Vamos entender o comportamento do fail2ban, após instalado e configurado > ele começa a ler o log gerado pelo Asterisk, se após X tentativas de > autenticação incorreta aplica-se a disciplina pelo IPTABLES. > > Até aqui lindo e maravilhoso, porem se o conjunto for mal configurado > (fail2ban, log, asterisk, etc), bingo estamos dentro do asterisk e > brincando de fazer chamadas para a Asia. > > Agora vamos nos colocar na cabeça do invasor, se ele faz o portscan em um > determinado bloco de endereços públicos e alguns IP retornam as portas > abertas, ele continuar tentando até entrar. Isso vale para o SIP, IAX e até > mesmo o AMI. > > A cada tentativa que o camarada faz, é uma conexão realizada de onde o > invasor esta com o seu servidor, vale lembrar que isso consome alguns Kb de > sua banda de internet. Também a cada tentativa é mais um log gerado, mais > uma linha analisada pelo fail2ban, mais consumo de processador, mais isso, > mais aquilo. > > Diante de tudo isso, pergunto, por que não ir direto ao ponto ? > > Com uma simples alteração no chan_sip.c, você consegue inibir o invasor > diretamente na fonte de problemas. Basta pegar qualquer evento de falha de > autenticação e solicitar que o próprio channel aplique a regra de iptables. > Não estou falando de AGI ou AMI, estou falando em modificar o chan_sip.c e > deixar ele fazer o trabalho para você. > > Pois bem, o iptables deve permanecer ativo, protegendo seu servidor de > portscan e as demais portas de comunicação, seja ICMP, TCP, UDP, etc. Desta > forma vocês diminuem o processo de escrita de log, consumo de processamento > para ler o log, etc.... > > Ja postei essa solução na lista alguns meses atras. Mas se precisarem de > ajuda estou a disposição. > > Abs > > Sylvio Jollenbeck > > # --------------------------------------------------------------- > *Sylvio Carlos Jollenbeck Borin* > # ---------------------------------------------------------------- > > > Em 6 de junho de 2012 15:15, Daviramos Roussenq Fortunato < > daviramo...@gmail.com> escreveu: > > Você pode ler a Documento e entender como o fail2ban funciona então >> http://www.fail2ban.org/wiki/index.php/Main_Page >> >> >> >> Em 6 de junho de 2012 14:58, João Marcelo Queiroz <j...@bol.com.br>escreveu: >> >> >>> Hudson, >>> >>> o problema não é no Fail2ban, e sim na forma em que o asterisk entrega >>> os logs. Dependendo do tipo de ataque, o log não entrega o IP do atacante >>> então não tem como barrar. O que deve ser feito é alterar a forma que o log >>> DO ASTERISK é gerado e depois adaptar a configuração do fail2ban (que é >>> simples) ao novo formato do log. Isso foi feito, mais ou menos, no asterisk >>> 1.8. >>> >>> Ou seja, a informação que deveria ser entregue ao fail2ban não existe >>> (ainda). >>> >>> Então, mesmo que você escreva essa implementação, ela não saberá onde >>> buscar a informação, pois ela não existe (ainda). >>> >>> >>> Abraço, >>> >>> >>> João Marcelo Queiroz >>> >>> >>> Em 06/06/2012, às 14:41, Hudson Cardoso escreveu: >>> >>> Bom nesse caso, eu arrumaria a leitura dos logs, o problema é que >>> nao >>> encontrei nada na net que fale sobre eles. >>> Algo tecnico mesmo, pois tudo que achei um passo a passo pronto, e >>> nem >>> sempre isso é bom, eu gosto de aprender tudo que um sistema faz, >>> e so um passo a passo nao me cheira bem... >>> Se voce souber de um tuto melhor para o fail2ban, otimo... >>> >>> >>> >>> >>> Hudson >>> 048 8413 7000 >>> 048 3039 8899 opcao 2 >>> www.easyteltelecom.com.br >>> >>> Para quem nao cre, nenhuma prova converte, >>> Para aquele que cre, nenhuma prova precisa. >>> >>> >>> > Date: Wed, 6 Jun 2012 14:29:47 -0300 >>> > From: rogerwin...@gmail.com >>> > To: asteriskbrasil@listas.asteriskbrasil.org >>> > Subject: Re: [AsteriskBrasil] RES: Fail2ban >>> > >>> > Opa! >>> > >>> > O Fail2Ban não tem problemas na leitura dos logs.. >>> > O que tem acontecido é os Logs não estarem de acordo com o o que ele >>> espera.. >>> > Como acontece no Asterisk 1.8, que teve mudanças nos formados dos >>> logs.. >>> > Nada que uns ajustes nas expressões não o façam funcionar >>> adequadamente. >>> > >>> > Abraço. >>> > >>> > Em 6 de junho de 2012 14:25, Hudson Cardoso >>> > <hudsoncard...@hotmail.com> escreveu: >>> > > Sei disso, mas pelo que tenho visto aqui na lista, e em alguns >>> blogs, e >>> > > ate no site >>> > > da Digium, é que o fail2ban nao esta atendendo as solicitacoes >>> corretamente, >>> > > esta >>> > > com problemas em logs do asterisk. >>> > > >>> > > >>> > > >>> > > Hudson >>> > > 048 8413 7000 >>> > > 048 3039 8899 opcao 2 >>> > > www.easyteltelecom.com.br >>> > > >>> > > Para quem nao cre, nenhuma prova converte, >>> > > Para aquele que cre, nenhuma prova precisa. >>> > > >>> > > >>> > >> From: r...@thiagoc.net >>> > >> Date: Wed, 6 Jun 2012 13:54:25 -0300 >>> > > >>> > >> To: asteriskbrasil@listas.asteriskbrasil.org >>> > >> Subject: Re: [AsteriskBrasil] RES: Fail2ban >>> > >> >>> > >> 2012/6/6 Hudson Cardoso <hudsoncard...@hotmail.com>: >>> > >> > O que quero criar nao servira somente para o asterisk, os log >>> do >>> > >> > asterisk >>> > >> > fica >>> > >> > facil de conhecer, pois é uma ferramenta que usa C nas >>> implementacoes. >>> > >> > fica facil pra mim, mas nao conheco nada de linux, to engatinhando >>> > >> > ainda... >>> > >> > a ideia seria verificar todos os logs do sistema, e tomar decisoes >>> > >> > segundo >>> > >> > voce >>> > >> > quiser, e colocar os ip banidos no IPTABLE, por isso quero a >>> opiniao de >>> > >> > quem >>> > >> > entende de linux.... >>> > >> >>> > >> É isso que o Fail2ban faz... >>> > >> >>> > >> -- >>> > >> thiagoc >>> > >> >>> > >> "O povo não deveria temer o governo. O governo é quem deveria temer >>> o >>> > >> povo." >>> > >> V de Vingança >>> > >> _______________________________________________ >>> > >> KHOMP Inovação: External Board Series >>> > >> Módulos de 1/2 rack e 1U para todas as interfaces e soluções >>> Asterisk e >>> > >> FreeSWITCH. >>> > >> Tenha a External Series Experience na sua aplicação. Visite >>> www.khomp.com >>> > >> _______________________________________________ >>> > >> DIGIVOICE Fabricante de Placas de Voz e Channel Bank >>> > >> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM >>> > >> Centro Treinamento - Curso de PABX IP - Asterisk - Site >>> > >> www.digivoice.com.br >>> > >> ________ >>> > >> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício >>> do >>> > >> mercado. >>> > >> email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) >>> 5503-1011 >>> > >> ______________________________________________ >>> > >> Para remover seu email desta lista, basta enviar um email em branco >>> para >>> > >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> > > >>> > > _______________________________________________ >>> > > KHOMP Inovação: External Board Series >>> > > Módulos de 1/2 rack e 1U para todas as interfaces e soluções >>> Asterisk e >>> > > FreeSWITCH. >>> > > Tenha a External Series Experience na sua aplicação. Visite >>> www.khomp.com >>> > > _______________________________________________ >>> > > DIGIVOICE Fabricante de Placas de Voz e Channel Bank >>> > > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM >>> > > Centro Treinamento - Curso de PABX IP - Asterisk - Site >>> > > www.digivoice.com.br >>> > > ________ >>> > > YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício >>> do >>> > > mercado. >>> > > email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) >>> 5503-1011 >>> > > ______________________________________________ >>> > > Para remover seu email desta lista, basta enviar um email em branco >>> para >>> > > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> > >>> > >>> > >>> > -- >>> > -- >>> > Roger Pitigliani >>> > rogerwin...@gmail.com >>> > Skype: roger.pitigliani >>> > _______________________________________________ >>> > KHOMP Inovação: External Board Series >>> > Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk >>> e FreeSWITCH. >>> > Tenha a External Series Experience na sua aplicação. Visite >>> www.khomp.com >>> > _______________________________________________ >>> > DIGIVOICE Fabricante de Placas de Voz e Channel Bank >>> > 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM >>> > Centro Treinamento - Curso de PABX IP - Asterisk - Site >>> www.digivoice.com.br >>> > ________ >>> > YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do >>> mercado. >>> > email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) >>> 5503-1011 >>> > ______________________________________________ >>> > Para remover seu email desta lista, basta enviar um email em branco >>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> _______________________________________________ >>> KHOMP Inovação: External Board Series >>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e >>> FreeSWITCH. >>> Tenha a External Series Experience na sua aplicação. Visite >>> www.khomp.com >>> _______________________________________________ >>> DIGIVOICE Fabricante de Placas de Voz e Channel Bank >>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM >>> Centro Treinamento - Curso de PABX IP - Asterisk - Site >>> www.digivoice.com.br >>> ________ >>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do >>> mercado. >>> email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 >>> ______________________________________________ >>> Para remover seu email desta lista, basta enviar um email em branco para >>> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> >>> >>> >>> _______________________________________________ >>> KHOMP Inovação: External Board Series >>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e >>> FreeSWITCH. >>> Tenha a External Series Experience na sua aplicação. Visite >>> www.khomp.com >>> _______________________________________________ >>> DIGIVOICE Fabricante de Placas de Voz e Channel Bank >>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM >>> Centro Treinamento - Curso de PABX IP - Asterisk - Site >>> www.digivoice.com.br >>> ________ >>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do >>> mercado. >>> email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 >>> ______________________________________________ >>> Para remover seu email desta lista, basta enviar um email em branco para >>> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> >> >> >> >> -- >> Atenciosamente >> Daviramos Roussenq Fortunato >> >> _______________________________________________ >> KHOMP Inovação: External Board Series >> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e >> FreeSWITCH. >> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com >> _______________________________________________ >> DIGIVOICE Fabricante de Placas de Voz e Channel Bank >> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM >> Centro Treinamento - Curso de PABX IP - Asterisk - Site >> www.digivoice.com.br >> ________ >> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do >> mercado. >> email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 >> ______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> > >
_______________________________________________ KHOMP Inovação: External Board Series Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH. Tenha a External Series Experience na sua aplicação. Visite www.khomp.com _______________________________________________ DIGIVOICE Fabricante de Placas de Voz e Channel Bank 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM Centro Treinamento - Curso de PABX IP - Asterisk - Site www.digivoice.com.br ________ YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado. email: yeal...@commlogik.com.br | www.commlogik.com.br | (11) 5503-1011 ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org