Fail2ban no bloquea Sending fake auth rejection

[David]

Hola amigos tengo una asterisk 11 en un vps con el fail2ban instalado, recibo muchos ataques del tipo  NOTICE[878][C-000000c3]: chan_sip.c:25005 handle_request_invite: Sending fake auth rejection for device 7000<sip:70...@XX.XX.XX.XX donde las XX es la direccion de mi vps, fail2ban no banea la ip del atacante, la única manera que tengo de hacerlo es manual, osea en el cli activo el debug, y vuelvo a entrar en el cli y que me vaya guardando los registros en un archivo, pasadas unas horas busco la entrada y baneo la ip, es un poco tedioso y tengo que hacerlo casi todos los dias.

¿Conocéis alguna opcion de que fail2ban pueda banear éstos ataques?

Un saludo.

[Sisco Ds]

Hola

Creo que te faltará definir el filter.id una expresión que se ajuste al mensaje de error.

Yo uso esto:

kamailio:

failregex = Auth error for .* from <HOST> cause -[0-9]

o en Asterisk:

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password

            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found

            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch

            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL

            NOTICE.* .*: <HOST> failed to authenticate as '.*'$

            NOTICE.* .*: No registration for peer '.*' (from <HOST>)

            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)

            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

Pega el mensaje completo de tu error y lo vemos.

Saludos.

[Sisco Ds]

Ah,. perdón

acabo de releer tu mensaje. El problema es que la IP del atacante no las estás viendo, no???

Bueno,.. ¿y no sería cuestión de habilitar algún nivel más de verbose en el log?

[MarioAngeles]

utiliza este:

failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password

       Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found

       Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL

       Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch

       Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register

       NOTICE.* <HOST> failed to authenticate as '.*'$

       NOTICE.* .*: No registration for peer '.*' (from <HOST>)

       NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)

       VERBOSE.* logger.c: -- .*IP/<HOST>-.* Playing 'ss-noservice' (language '.*')

 

y me avisas:

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
---
Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus correos electrónicos, envía un correo electrónico a asterisk-es...@googlegroups.com.
Para publicar una entrada en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Visita este grupo en http://groups.google.com/group/asterisk-es?hl=es.
Para obtener más opciones, visita https://groups.google.com/groups/opt_out.
 
 

[David]

Hola amigos os agradezco mucho vuestra ayuda parece que lo tengo controlado, he utilizado las instrucciones de ésta pagina.

http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk

Aunque me gustaría saber como banear el siguiente rango de ip ya que son desde donde recibo muchos ataques

94.23.192.0 - 94.23.255.255

Gracias de nuevo y un saludo.

El miércoles, 17 de abril de 2013 20:27:45 UTC+2, David escribió:

[Gaston Draque]

iptables -A INPUT -s 94.23.192.0/24 -j DROP

2013/4/20 David <ainwe...@gmail.com>

--

Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
---
Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus correos electrónicos, envía un correo electrónico a asterisk-es...@googlegroups.com.
Para publicar una entrada en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Visita este grupo en http://groups.google.com/group/asterisk-es?hl=es.
Para obtener más opciones, visita https://groups.google.com/groups/opt_out.
 
 

--

-----BEGIN GEEK CODE BLOCK-----

Version: 3.12

GCM GCC GIT d? s:+ a? C+++ UB++ UL+++ P++ L++ E-- W++ N++ o-- K+ w(++)

O M(+) V- PS+ PE Y+ PGP t-- 5-- X R- tv+ b+(++) DI+(++) D++

G e++ h---- r+++ y++++

-----END GEEK CODE BLOCK------

[David]

Gracias Gaston haber que tal va, un saludo a todos.

El miércoles, 17 de abril de 2013 20:27:45 UTC+2, David escribió:

[Francisco J Capdevila]

Ojo que la longitud de la máscara de subred esta mal. No cubre todo el rango.
Saludos!

--

[Gaston Draque]

Si, asumi que era 94.23.192.0 - 94.23.192.255, porque no tiene mucha logica asumir que son carmelitas hasta el 192 y que de ahi en adelante son todos spammers... pero bueno, eso ya es cuestion de quien tiene que bloquear.

2013/4/20 Francisco J Capdevila <fjcap...@gmail.com>

[David]

Hice uno whois ip de una de las ip atacantes y me mostró ésta rango 94.23.192.0 - 94.23.255.255 igual he entendido mal pero todo ese rango de ip puede ser de la misma persona? Es por eso que quería banear todo ese rango, de todas formas con las instrucciones de Gaston llevo dias que no recibo ningún ataque de ese rango de ip.

Un saludo.

El miércoles, 17 de abril de 2013 20:27:45 UTC+2, David escribió:

[alphil]

Acabo de repasar el artículo que indicas, pero no veo en ningún momento como bloquear el ataque mencionado. La página tiene un ejemplo donde usan el patrón:

NOTICE.* .*: Sending fake auth rejection for device .*\<sip:.*\@<HOST>\>;tag=.*

pero la variable <HOST> es la IP de tu Asterisk y no del atacante, que sentido tiene?

[Andres Lavariega]

No encuentro sentido!!

Pero si haces un debug veras la ip real..

[Manolo Quijano]

Hola, 

  Yo no veo la IP del atacante ni con debug, veo cosas asi

[Nov  5 23:04:48] NOTICE[2303][C-00000346]: chan_sip.c:25282 handle_request_invite: Failed to authenticate device 600<sip:600@MI_IP_>;tag=47e594e2

Otra veces en vez del tag si veo la IP del atacente pero ultimante siempre tengo tramas de estas.

¿Alguna solución para limitar los ataques?

Saludos, 

Manolo Q.

--

Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
---
Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus correos electrónicos, envía un correo electrónico a asterisk-es...@googlegroups.com.
Para publicar una entrada en este grupo, envía un correo electrónico a aster...@googlegroups.com.

Visita este grupo en http://groups.google.com/group/asterisk-es.

Para obtener más opciones, visita https://groups.google.com/groups/opt_out.

--

--

http://accessprogprotect.mooo.com/

[Paco Gil]

para asterisk viejunos, he dado alguna solución aquí:

https://groups.google.com/forum/#!topic/asterisk-es/FeSXaZ4k-L4

saludos,

2013/11/5 Manolo Quijano <manolo....@gmail.com>