fail2ban fone-RNP

INSTALAÇÃO E CONFIGURAÇÃO DO SERVIÇO fail2ban – fone@RNP
RNP / DAGSer / CAIS
INSTALAÇÃO E CONFIGURAÇÃO fail2ban – fone@RNP
Implementação de recursos de segurança fail2ban no serviço fone@RNP
MATERIAIS / CONFIGURAÇÃO

Servidores fone@RNP
PROCEDIMENTOS
Instalação do serviço fail2ban.
Realizar a instalação do serviço fail2ban através do gerenciador de pacotes padrão da
distribuição Debian.
1. Instalação do serviço fail2ban
# aptitude install fail2ban
# /etc/init.d/fail2ban stop
Obs.: Pare a execução do serviço imediatamente a sua instalação.
Obs1.: As dependências necessárias serão instaladas automaticamente.
Ajustando o log do OpenSER.
2. Edite o arquivo "/etc/openser/openser.cfg". Edite a linha correspondente ao registro de
eventos do método REGISTER. A configuração deve ser encontrada próxima a linha 234
do arquivo. A linha deverá ser a seguinte:
# cd /etc/openser
# vi openser.cfg
...
xlog("L_ALERT", "Chegou um REGISTER ($fU)($ru)\n");
...
Altere pra que fique conforme o exemplo abaixo:
...
xlog("L_ALERT", "Chegou um REGISTER ($fU)($ru). Origem $si\n");
...
Salve e feche o arquivo.
3. Entre no diretório padrão do fail2ban, normalmente em "/etc/fail2ban", faça um backup
do arquivo "jail.conf" e edite da seguinte forma:
# cd /etc/fail2ban
# cp jail.conf __STD__jail.conf
1
INSTALAÇÃO E CONFIGURAÇÃO DO SERVIÇO fail2ban – fone@RNP
RNP / DAGSer / CAIS
4. Edite o arquivo "jail.conf", desabilite todos os serviços que não sejam de interesse
(enable = false) e adicione as seguintes configurações:
[DEFAULT]
ignoreip = 127.0.0.1 IPs.IGNORADOs.PELO.FAIL2BAN
bantime = 600
maxretry = 3
Obs.: As linhas "bantime" e "maxretry" são configuradas de forma padrão aqui, caso NÃO
SEJAM EXPLICITAMENTE DEFINIDAS dentro do escopo de um serviço específico, estas
configurações serão carregadas.
Obs1.: Os IP’s no campo ignoreip devem ser separados por espaços.
...
#
# fone@RNP
#
[fonernp]
enabled = true
filter = fonernp
action = iptables[name=fonernp, protocol=udp, port=5060]
mail-whois[name=fonernp, [email protected],
sender=fail2ban@SERVIDOR]
logpath = /var/log/openser.log
bantime = 1800
findtime = 10
maxretry = 10
5. Entre no diretório "filter.d" (/etc/fail2ban/filter.d) e crie um arquivo filtro chamado
"fonernp.conf" com o seguinte conteúdo:
# Fail2Ban configuration file
#
[INCLUDES]
[Definition]
failregex = .*: Chegou um REGISTER .* Origem <HOST>
ignoreregex =
Salve e feche o arquivo.
6. Reinicie o serviço do fail2ban.
- /etc/init.d/fail2ban stop
- /etc/init.d/fail2ban start
2
INSTALAÇÃO E CONFIGURAÇÃO DO SERVIÇO fail2ban – fone@RNP
RNP / DAGSer / CAIS
7. Verifique as regras do iptables do servidor, note que serão incluídas regras relacionadas
ao serviço fail2ban
# iptables -nL
Chain INPUT (policy ACCEPT)
target
prot opt source
fail2ban-fonernp udp -- 0.0.0.0/0
udp dpt:5060
destination
0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target
prot opt source
destination
Chain OUTPUT (policy ACCEPT)
target
prot opt source
destination
Chain fail2ban-fonernp (1 references)
target
prot opt source
RETURN
0
-- 0.0.0.0/0
voip1-alba:/etc/fail2ban#
destination
0.0.0.0/0
Caso ocorra a varredura do serviço VoIP sendo registrados 10 ou mais eventos seguidos do
método REGISTER partindo de um único IP, uma regra será adicionada ao iptables
bloqueando o IP durante o período especificado no arquivo jail.conf (1800 segundos).
Os registros podem ser analisados através dos arquivos de log do serviço OpenSER e
fail2ban.
Observações e contribuições de profissionais das instituições clientes do fone@RNP
1) Em 5 de junho de 2012
Carlos Fernando Assis Paniago
1) O procedimento se aplica a MAQ1 (já que é a que tem o openser).
A MAQ2, pode ate ter isso mas não tem openser.
2) Depois do evento 2) tem de matar e estartar o openser com:
/etc/init.d/openser stop
etc/init.d/openser start
(ou restart)
para o openser
configuração dele.
começar
a
fazer
o
log
com
a
mudança
no
parâmetro
de
No meu caso, preferi mudar a configuração para receber email quando acontecer um ataque
(no jail.conf)... Ai tive de instalar o postfix (já que eu uso ele aqui), e o mailx.
3