<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">

<HTML>

<HEAD>

  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">

  <META NAME="GENERATOR" CONTENT="GtkHTML/3.32.2">

</HEAD>

<BODY>

On Wed, 2011-05-18 at 16:52 -0400, J. Oquendo wrote:

<BLOCKQUOTE TYPE=CITE>

<PRE>

On 5/18/2011 4:42 PM, anorexicpoodle wrote:

>> The biggest gripe I have with Asterisk and other open source based PBXs,

>> is the symmetry in logs. Its not fluid. One of the reasons I never built

>> an "all out" honeypot. I have to modify so much across different

>> versions. However, this is also the beauty of Asterisk and similar open

>> source type PBXs, there is so much you can do but it almost always needs

>> to be custom. I also have an insane expect to .bashrc script back to

>> expect + ssh key script which runs on an SBC, parses some of the SBC

>> logs, pushes the output to a Linux machine, gets re-parsed on the Linux

>> box, triggers alert (right now to my SIP Blackberry client & Snom) based

>> on predefined params (volume of calls, destination of calls) and has the

>> capability of doing trigger based blocking (expect). Right now though,

>> its only running on our nCite SBCs and once I become more comfortable

>> with our Acme's logging capabilities, I may do the same type of

>> scripting: From syslog based machine, parse elsewhere, sort out, pick

>> out a trigger, create a rule, send it via expect to some defense

>> mechanism. Depends on how REALLY bored I get and whether or not I

>> actually even start looking at our Acmes. (Personally, I'd rather leave

>> this to my colleague ;))

>

> Interesting you should bring this up as it is something I have been

> fiddling with now for a little while. I have all our Acmes feeding a

> syslog server in SQL, and parsing those logs to generate lists of

> particularly bad offenders, then using that process to seed a

> blacklist BGP feed that all my edge routers draw from and then null

> route those offenders at the edge of my network, or for particularly

> bad attacks using BGP communities to signal our bandwidth provider to

> null them.

>

> This has the benefit of providing a measure of intelligent protection

> network wide, even when the attack is focused on a single element and

> can guard against both SIP based attacks and more traditional DDOS

> attacks as well.

>

>

Un cc'd you guys to stop the dupes ;)

The logic you have sounds cool however, I would have to be cautious

blacklisting an entire ASNs as we do have some clients abroad with

interconnected trunks to their offices here. I like running phorensix

since it gives me an indication of "which country is hot" for fraud

right now. I called "Romania" back in Sept of 2010 and lo and behold

arrests hit that country for fraud. In Oct I called "Egypt" which is a

hotspot (ASN 8452). Soon I'll tinker around with Acme via syslog and

maybe I'll revise something for phorensix soon and make it public.

</PRE>

</BLOCKQUOTE>

<BR>

Not blacklisting entire ASN's, feeding specific /32's into a BGP feed (usually hosted on Vyatta or Quagga in VM) though it does kinda bring up some interesting ideas about correlating the black-listed /32's to specific ASN's and Countries for alert grouping and reporting. Ill have to have a play with that. <BR>

<BR>

here is where I got the original idea:<BR>

<A HREF="http://www.team-cymru.org/Services/Bogons/bgp.html">http://www.team-cymru.org/Services/Bogons/bgp.html</A><BR>

<BR>

And i just extended it to feed from other sources via scripted input and hosted the feed myself. <BR>

<BR>

</BODY>

</HTML>