SecAst блокирует IP, которые не являются fail2ban

Question

SecAst блокирует IP, которые не являются fail2ban

Я использую SecAst на своем сервере Asterisk, а также fail2ban. (Настройка в качестве опции согласно руководству по установке SecAst). Я сделал это, чтобы проверить, работает ли SecAst правильно. Я планировал удалить fail2ban, если SecAst работает правильно.

Список запрещенных IP-адресов в списке SecAst намного длиннее, чем список fail2ban - почему? Я не вижу никаких атак в журнале сообщений Asterisk с этих адресов. SecAst вытаскивает эти адреса из воздуха? Есть ли доказательства того, что эти адреса делают что-то не так?

0

iptables fail2ban asterisk secast

Источник

03 июл '14 в 16:13

1 ответ

Решение

Другие вопросы по тегам iptables fail2ban asterisk secast

TSG 03 июл '14 в 17:13 2014-07-03 17:13 · Accepted Answer · 2014-07-03 17:13

Для этого может быть много причин (и я могу заверить вас, что SecAst не вытаскивает адреса из воздуха).

Геозона: SecAst может блокировать исходные IP-адреса в зависимости от их географического положения. Есть ли у вас настройки геогенизации в файле secast.conf? Если это так, перейдите к интерфейсу Telnet SecAst и протестируйте заблокированные IP-адреса, чтобы узнать, происходят ли они в ограниченной географической области.
Эвристические паттерны: может ли исходный IP / расширение делать то, что вы не ожидаете? Если утечка набора действительных учетных данных возможна, это может быть связано с тем, что кто-то совершает вызовы с использованием этих учетных данных, и их шаблоны использования - это то, что обычно наблюдается во время мошенничества.
Fail2Ban упускает это: возможно, что SecAst ловит вещи, а fail2ban - нет. В настоящее время злоумышленники распространяют "тесты" на безопасность / учетные данные в течение нескольких дней, и SecAst может их отследить.

Так что... это только некоторые из ответов. Можете ли вы опубликовать соответствующие части вашего файла secast.log и сообщений / безопасности звездочки? (Или, если вы обеспокоены раскрытием имен добавочных номеров или IP-адресов, отправьте их в службу поддержки на generationd.com)

Суть в том, что fail2ban может обнаруживать только подмножество того, что обнаруживает SecAst, поэтому не ожидайте того же IP-адреса. Если вы публикуете свои файлы журналов (или отправляете их по электронной почте), я могу точно указать причину (ы)

ОБНОВИТЬ:

Вот отзывы, основанные на отправленных вами файлах:

Журналы SecAst показывают все запреты и объясняют, почему. Взгляните на [5 июня 2014 г. 6:14:20] в качестве примера; это показывает, что IP был в списке отслеживания, и эта попытка регистрации перевернула его через край. Ваш конфигурационный файл Secast показывает, что вы используете 3-дневный интервал для обнаружения (что хорошо), и этот IP-адрес пытается регистрироваться каждые 15 часов. Так что fail2ban не поймает этого, но SecAst правильно его поймает.
Журнал SecAst показывает много неожиданных вызовов с добавочного номера 100, а IP-адрес является не маршрутизируемым. Итак, пара вещей здесь не так: во-первых, здесь явно присутствует подозрительная схема вызова, поэтому запрет был правильным действием (и вы можете изменить чувствительность обнаружения в файле secast.conf). Далее, поскольку IP-адрес для этой атаки является внутренним, необходимо настроить диапазон внутренних IP-адресов таким образом, чтобы внутренние телефоны не отслеживались по шаблонам вызовов.

Я не вижу нарушений геозоны - по крайней мере, в журналах, которые вы отправили.