Назад | Перейти на главную страницу

SecAst блокирует IP-адреса, которых нет в fail2ban.

Я использую SecAst на моем сервере Asterisk, а также fail2ban. (Возможна установка в соответствии с руководством по установке SecAst). Я сделал это, чтобы проверить, правильно ли работает SecAst. Я планировал удалить fail2ban, если SecAst работает правильно.

Список запрещенных IP-адресов в списке SecAst намного длиннее, чем список fail2ban - почему? Я не вижу атак в журнале сообщений Asterisk с этих адресов. SecAst вытаскивает эти адреса из воздуха? Есть ли доказательства, что эти адреса делают что-то не так?

Для этого может быть много причин (и я могу заверить вас, что SecAst не извлекает адреса из воздуха).

  1. Geofencing: SecAst может блокировать исходные IP-адреса в зависимости от их географического положения. У вас есть настройки геогенизации в файле secast.conf? Если это так, перейдите к telnet-интерфейсу SecAst и проверьте заблокированные IP-адреса, чтобы убедиться, что они происходят из ограниченной географической области.

  2. Эвристические шаблоны: может ли исходный IP-адрес / расширение делать то, чего вы не ожидаете? Если произошла утечка набора действительных учетных данных, возможно, кто-то совершает звонки, используя эти учетные данные, и их шаблоны использования обычно наблюдаются во время мошенничества.

  3. Fail2Ban не хватает этого: возможно, что SecAst улавливает вещи, которых нет в fail2ban. Злоумышленники сейчас распространяют «тесты» вашей безопасности / учетных данных на несколько дней, и SecAst может их поймать.

Итак ... это лишь некоторые из ответов. Можете ли вы опубликовать соответствующие части вашего secast.log и сообщений / файла безопасности звездочки? (Или, если вас беспокоит раскрытие имен расширений или IP-информации, отправьте их в службу поддержки на сайте generationd.com)

Суть в том, что fail2ban может обнаруживать только часть того, что обнаруживает SecAst, поэтому не ожидайте, что будет обнаружен один и тот же IP-адрес. Если вы разместите свои файлы журналов (или отправите их по электронной почте), я могу конкретно указать вам причину (ы)

ОБНОВИТЬ:

Вот отзывы, основанные на отправленных вами файлах:

  1. Журналы SecAst показывают все запреты и объясняют, почему. Взгляните на [Jun-5-2014 6:14:20] в качестве примера; он показывает, что IP-адрес был в списке отслеживания, и эта попытка регистрации вызвала его перебор. Ваш файл конфигурации Secast показывает, что вы используете трехдневный интервал для обнаружения (что хорошо), и этот IP-адрес, похоже, пытается зарегистрироваться каждые 15 часов. Таким образом, fail2ban не поймает это, но SecAst правильно уловит.
  2. Журнал SecAst показывает МНОГО внезапных вызовов от добавочного номера 100, а IP-адрес не является маршрутизируемым. Итак, здесь есть несколько ошибок: во-первых, здесь явно присутствует подозрительный шаблон вызова, поэтому бан был правильным действием (и вы можете изменить чувствительность обнаружения в secast.conf). Затем, поскольку IP-адрес для этой атаки является внутренним, вам следует настроить внутренний диапазон IP-адресов, чтобы внутренние телефоны не отслеживались на предмет шаблонов вызовов.

Я не вижу нарушений геозон - по крайней мере, в отправленных вами журналах.