SecAst, блокирующий IP, который не fail2ban
Я использую SecAst на своем сервере Звездочки, а также fail2ban. (Установка как опция согласно инструкции по установке SecAst). Я сделал это, чтобы протестировать, если SecAst работает правильно. Я запланировал удалить fail2ban, если SecAst работает правильно.
Список запрещенного IP в списке SecAst является путем дольше, чем список fail2ban - почему? Я не вижу нападений в журнале сообщений Звездочки от этих адресов. SecAst вытягивает эти адреса из ничего? Есть ли какое-либо доказательство, эти адреса делают что-то не так?
Для этого может быть много причин (и я могу вас заверить, что SecAst не вытягивает адреса из воздуха).
Геофенсинг: SecAst может блокировать IP-адреса источников на основании их географического расположения. У вас есть настройка геогензирования в файле secast.conf? Если да, зайдите в telnet-интерфейс SecAst и протестируйте заблокированные IP-адреса на предмет их происхождения в ограниченном географическом регионе.
Эвристические модели: Может ли IP-адрес источника/расширение делать то, чего вы не ожидаете? Если утечка набора действительных учетных данных может быть вызвана тем, что кто-то звонит, используя эти учетные данные, и шаблоны их использования - это то, что обычно видно во время мошенничества.
Fail2Ban пропустил его: Возможно, что SecAst ловит вещи, которые не ловит fail2Ban. Злоумышленники сейчас распространяют "тесты" вашей безопасности/удостоверений в течение нескольких дней, и SecAst может их перехватить.
Так что... это всего лишь некоторые из ответов. Можете ли вы разместить соответствующие части своего secast.logа и сообщения/файла безопасности со звездочкой? (Или, если вас беспокоит раскрытие имен расширений или информации об IP, пожалуйста, отправьте их в поддержку на gend.com)
Суть в том, что fail2ban может обнаружить только подмножество того, что SecAst обнаруживает, поэтому не ждите, что будут обнаружены те же самые IP-адреса. Если вы опубликуете свои лог-файлы (или отправите их по электронной почте), я могу сообщить вам причину (причины)
UPDATE:
Вот обратная связь, основанная на отправленных вами файлах:
- Журналы SecAst показывают все запреты и объясняют почему. Взгляните на [Jun-5-2014 6:14:20] в качестве примера; он показывает, что IP был в списке наблюдения, и эта попытка регистрации переплюнула его. Ваш файл Secast config показывает, что вы используете 3-дневный интервал для обнаружения (что хорошо), и этот IP, кажется, пытается регистрироваться каждые 15 часов. Таким образом, fail2ban не поймает это, но SecAst правильно поймал это.
- Журнал SecAst показывает LOTS внезапных звонков с расширения 100, а IP является немаршрутизируемым адресом. Так что пара вещей здесь неправильные: во-первых, здесь явно есть подозрительный шаблон вызова, поэтому запрет был правильным действием (и вы можете изменить чувствительность обнаружения в secast.conf). Далее, так как IP для этой атаки внутренний - вы должны настроить внутренний диапазон IP так, чтобы внутренние телефоны не следили за шаблонами вызовов.
Я не вижу никаких нарушений геозоны - по крайней мере, не в логах, которые вы послали.
.