我在 Asterisk 服务器上使用 SecAst 以及 fail2ban。(按照 SecAst 安装指南设置选项)。我这样做是为了测试 SecAst 是否正常工作。如果 SecAst 正常工作,我计划删除 fail2ban。
SecAst 列表上的禁止 IP 列表比 fail2ban 列表长得多 - 为什么?我在 Asterisk 消息日志中没有看到来自这些地址的任何攻击。SecAst 是凭空捏造这些地址吗?有任何证据表明这些地址做了什么坏事吗?
答案1
造成这种情况的原因有很多(我可以向你保证,SecAst 不会凭空捏造地址)。
地理围栏:SecAst 可以根据地理位置阻止源 IP。 您是否在 secast.conf 文件中设置了地理围栏? 如果是,请转到 SecAst 的 telnet 接口并测试被阻止的 IP,以查看它们是否来自受限制的地理区域。
启发式模式:源 IP/扩展程序是否可能正在执行您意想不到的操作?如果一组有效凭证被泄露,则可能是有人使用这些凭证拨打电话,而他们的使用模式正是欺诈过程中常见的模式。
Fail2Ban 遗漏了这一点:SecAst 可能正在捕获 fail2ban 未捕获的内容。攻击者现在正在几天内对您的安全/凭证进行“测试”,而 SecAst 可能正在捕获这些内容。
所以……这些只是部分答案。您可以发布 secast.log 和 asterisk 消息/安全文件的相关部分吗?(或者,如果您担心暴露扩展名或 IP 信息,请将它们发送至generationd.com 的支持部门)
底线是,fail2ban 只能检测到 SecAst 检测到的子集,因此不要指望检测到相同的 IP。如果您发布日志文件(或通过电子邮件发送),我可以具体告诉您原因
更新:
以下是根据您发送的文件得出的反馈:
- SecAst 日志显示了所有禁令并解释了原因。以 [Jun-5-2014 6:14:20] 为例;它显示该 IP 在监视列表中,并且这次注册尝试使其超出了界限。您的 Secast 配置文件显示您使用 3 天间隔进行检测(这很好),并且该 IP 似乎每 15 小时尝试注册一次。因此 fail2ban 不会捕获此情况,但 SecAst 可以正确捕获它。
- SecAst 日志显示大量来自分机 100 的突然呼叫,并且 IP 是不可路由的地址。因此,这里有几件事是错误的:首先,这里显然存在可疑的呼叫模式,因此禁止是正确的操作(您可以在 secast.conf 中更改检测的敏感度)。其次,由于此攻击的 IP 是内部的 - 您应该设置内部 IP 范围,以便内部电话不会被监视呼叫模式。
我没有看到任何地理围栏违规行为 - 至少在您发送的日志中没有。