SecAst 阻止 fail2ban 不支持的 IP

Question

造成这种情况的原因有很多（我可以向你保证，SecAst 不会凭空捏造地址）。

地理围栏：SecAst 可以根据地理位置阻止源 IP。您是否在 secast.conf 文件中设置了地理围栏？如果是，请转到 SecAst 的 telnet 接口并测试被阻止的 IP，以查看它们是否来自受限制的地理区域。
启发式模式：源 IP/扩展程序是否可能正在执行您意想不到的操作？如果一组有效凭证被泄露，则可能是有人使用这些凭证拨打电话，而他们的使用模式正是欺诈过程中常见的模式。
Fail2Ban 遗漏了这一点：SecAst 可能正在捕获 fail2ban 未捕获的内容。攻击者现在正在几天内对您的安全/凭证进行“测试”，而 SecAst 可能正在捕获这些内容。

所以……这些只是部分答案。您可以发布 secast.log 和 asterisk 消息/安全文件的相关部分吗？（或者，如果您担心暴露扩展名或 IP 信息，请将它们发送至generationd.com 的支持部门）

底线是，fail2ban 只能检测到 SecAst 检测到的子集，因此不要指望检测到相同的 IP。如果您发布日志文件（或通过电子邮件发送），我可以具体告诉您原因

更新：

以下是根据您发送的文件得出的反馈：

SecAst 日志显示了所有禁令并解释了原因。以 [Jun-5-2014 6:14:20] 为例；它显示该 IP 在监视列表中，并且这次注册尝试使其超出了界限。您的 Secast 配置文件显示您使用 3 天间隔进行检测（这很好），并且该 IP 似乎每 15 小时尝试注册一次。因此 fail2ban 不会捕获此情况，但 SecAst 可以正确捕获它。
SecAst 日志显示大量来自分机 100 的突然呼叫，并且 IP 是不可路由的地址。因此，这里有几件事是错误的：首先，这里显然存在可疑的呼叫模式，因此禁止是正确的操作（您可以在 secast.conf 中更改检测的敏感度）。其次，由于此攻击的 IP 是内部的 - 您应该设置内部 IP 范围，以便内部电话不会被监视呼叫模式。

我没有看到任何地理围栏违规行为 - 至少在您发送的日志中没有。

Answer 1

造成这种情况的原因有很多（我可以向你保证，SecAst 不会凭空捏造地址）。

地理围栏：SecAst 可以根据地理位置阻止源 IP。您是否在 secast.conf 文件中设置了地理围栏？如果是，请转到 SecAst 的 telnet 接口并测试被阻止的 IP，以查看它们是否来自受限制的地理区域。
启发式模式：源 IP/扩展程序是否可能正在执行您意想不到的操作？如果一组有效凭证被泄露，则可能是有人使用这些凭证拨打电话，而他们的使用模式正是欺诈过程中常见的模式。
Fail2Ban 遗漏了这一点：SecAst 可能正在捕获 fail2ban 未捕获的内容。攻击者现在正在几天内对您的安全/凭证进行“测试”，而 SecAst 可能正在捕获这些内容。

所以……这些只是部分答案。您可以发布 secast.log 和 asterisk 消息/安全文件的相关部分吗？（或者，如果您担心暴露扩展名或 IP 信息，请将它们发送至generationd.com 的支持部门）

底线是，fail2ban 只能检测到 SecAst 检测到的子集，因此不要指望检测到相同的 IP。如果您发布日志文件（或通过电子邮件发送），我可以具体告诉您原因

更新：

以下是根据您发送的文件得出的反馈：

SecAst 日志显示了所有禁令并解释了原因。以 [Jun-5-2014 6:14:20] 为例；它显示该 IP 在监视列表中，并且这次注册尝试使其超出了界限。您的 Secast 配置文件显示您使用 3 天间隔进行检测（这很好），并且该 IP 似乎每 15 小时尝试注册一次。因此 fail2ban 不会捕获此情况，但 SecAst 可以正确捕获它。
SecAst 日志显示大量来自分机 100 的突然呼叫，并且 IP 是不可路由的地址。因此，这里有几件事是错误的：首先，这里显然存在可疑的呼叫模式，因此禁止是正确的操作（您可以在 secast.conf 中更改检测的敏感度）。其次，由于此攻击的 IP 是内部的 - 您应该设置内部 IP 范围，以便内部电话不会被监视呼叫模式。

我没有看到任何地理围栏违规行为 - 至少在您发送的日志中没有。

相关内容