<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 11 (filtered medium)">

<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"

 name="PersonName"/>

<!--[if !mso]>

<style>

st1\:*{behavior:url(#default#ieooui) }

</style>

<![endif]-->

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:blue;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:Arial;

        color:navy;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.25in 1.0in 1.25in;}

div.Section1

        {page:Section1;}

-->

</style>

</head>

<body lang=EN-US link=blue vlink=blue>

<div class=Section1>

<div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;

font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2

face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'>

asterisk-users-bounces@lists.digium.com

[mailto:asterisk-users-bounces@lists.digium.com] <b><span style='font-weight:

bold'>On Behalf Of </span></b>Warren Selby<br>

<b><span style='font-weight:bold'>Sent:</span></b> Thursday, March 31, 2011

10:14 AM<br>

<b><span style='font-weight:bold'>To:</span></b> <st1:PersonName w:st="on">Asterisk

 Users Mailing List - Non-Commercial Discussion</st1:PersonName><br>

<b><span style='font-weight:bold'>Subject:</span></b> Re: [asterisk-users]

asterisk and fail2ban</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p>&nbsp;</o:p></span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>On Thu, Mar 31, 2011 at 7:17 AM, vip killa &lt;<a

href="mailto:vipkilla@gmail.com">vipkilla@gmail.com</a>&gt; wrote:<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>Back to the original question, for those of you using Fail2Ban,<o:p></o:p></span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>Does it take an unusually high amount of break-in attempts before

attackers are banned?<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>I have it set to 5 attempts in fail2ban but usually, the attacker is

able to make over 100 attempts before fail2ban bans them.<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>I've tried this using asterisk's /var/log/asterisk/messages and

/var/log/messages with same results.<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Perhaps&nbsp;someone else is experiencing this or has

resolved it, thank you.</span></font><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><br>

Check your log files.&nbsp; With the current generation of SIP attack scripts,

I've seen hundreds of attacks come in within one second, especially if you've

got decent bandwidth.&nbsp; I've seen fail2ban logs that state between 60-250

failed attempts for asterisk.&nbsp; I think it's just the nature of the speed

of the attacks.&nbsp; <br>

<br>

-- <br>

Thanks,<br>

--Warren Selby, dCAP<br>

<a href="http://www.selbytech.com" target="_blank">http://www.selbytech.com</a><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>Which is a good reason to use manual, mass

IPTables entries for &#8220;the rest of the world&#8221; and fail2ban generated

entries for creeps in your neighborhood/country.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>CF<o:p></o:p></span></font></p>

</div>

</body>

</html>