<br><br><div class="gmail_quote">2010/9/20 VoIP Abuse Project <span dir="ltr"><<a href="mailto:voipabuse@infiltrated.net">voipabuse@infiltrated.net</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">Leandro Dardini wrote:<br>
> Hello,<br>
> I find a blacklist too heavy to manage and unable to catch the fast<br>
> emerging bruteforcers. As freelancer I suggest to my clients (all on<br>
> Linux with Asterisk) the install of the fail2ban software.<br>
><br>
> The working of fail2ban software is really simple: it reads the<br>
> messages generated by the application and if one user try to<br>
> authenticate with wrong credentials more than X times in the unit of<br>
> time, then triggers an insert into iptables to not get more packets<br>
> from him for a long time (adjustable).<br>
><br>
> Leandro<br>
<br>
</div>Understood on fail2ban however, I can use fail2ban against you and have<br>
your own servers block their upstream. Fail2Ban "fails" when you're in a<br>
managed PBX arena and your clients are connecting from all over the<br>
place. When you have thousands of customers and some are connecting from<br>
all over the place, fiddling with Softphones, settings in Snom, Polycom,<br>
etc., you will quickly learn that Fail2Ban outright fails.<br>
<br>
While a blacklist CAN be cumbersome, this isn't like spam where there<br>
are millions of hosts attempting this per day. At maximum, I've seen<br>
about 15-20 hosts attacking one PBX. It will take me about 20-30 minutes<br>
to whip up a python or shell script to parse them out and upload them. I<br>
already have my honeypot writing to DB, all I have to do is re-write to<br>
gzip and send the full logs.<br>
<br>
The hard part is writing an informative email someone will likely never<br>
read (abuse departments). Last thing I want to hear is "you're not<br>
playing fair" when their clients complain.<br>
<font color="#888888"><br>
--<br>
</font><div><div></div><div class="h5"><br>
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+<br>
J. Oquendo<br>
SGFA, SGFE, C|EH, CNDA, CHFI, OSCP, CPT<br>
<br>
"It takes 20 years to build a reputation and five minutes to<br>
ruin it. If you think about that, you'll do things<br>
differently." - Warren Buffett<br>
<br>
227C 5D35 7DCB 0893 95AA  4771 1DCE 1FD1 5CCD 6B5E<br>
<a href="http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x5CCD6B5E" target="_blank">http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x5CCD6B5E</a><br>
<br>
</div></div></blockquote></div><br><div>I am sorry, but I really don't understand how fail2ban can be used against me. The only drawback of fail2ban is when inside a large private organization using NAT and exiting on Internet with a single (or small pool of) IP, some evil colleagues can send a bunch of wrong REGISTER requests and trigger fail2ban to filter the IP preventing legitimate users from within the same organization to access your service. This can happen once, then the good sysadmin of the organization will snoop the traffic and catch the evil colleagues.</div>
<div><br></div><div>Leandro</div><div><br></div>