Buenos tardes
En la ultima versión de Issabel, sigue con problemas el Fail2Ban.
1. Manda error en cyrus.
2. No funciona bien en apache.
3. Revisando los archivos del modulo, no esta la configuración de cyrus.

Nos pueden ayudar, gracias.

insotec Hola, podrias dar mas detalles de los puntos que mencionas?

Gracias.

venturinog
Buenas noches, gracias por responder.
1. No muestra en Banned IPs el servicio de HTTPS.
2. Al revisar las reglas de firewall, se mira que bloqueo el ISSABEL-GUI y ya no te deja entrar vía SSH.
3. Al no poder estar el servicio de HTTPS o ISSABEL-GUI en Banned IPs pues no puedes desbloquear la IP hasta que bajes el Firewall.
4. Si esta abajo el Firewall y generas el mismo ejemplo tampoco muestra en Banned IPs el servicio de HTTPS o ISSABEL-GUI que esta bloqueado, tiene que subir el Firewall para que se desbloque.

5. Revisando en /var/www/html/modules/sec_fb_admin/libs/ no esta la opción de "cyrus"
6. Revisando los archivos de Fail2Ban:
   6.1. En jail.conf no esta el "cyrus" solo esta como "cyrus-imap".
   6.2. En jail.conf no esta "issabel-gui.

Revisando un link https://programarivm.com/protegiendo-con-fail2ban-los-servicios-http-https-y-ssh-de-los-ataques-ddos/
¿Servirá de algo o se puede aplicar los pasos?

Gracias, saludos.

insotec
Buenas noches, revisando
1. En la carpeta /etc/fail2ban/action.d, hace falta el archivo, "firewallcmd-ipset.local"
2. En la carpeta /etc/fail2ban/filter.d hace falta el archivo, "apache-bfa.conf" y "asterisk.local"
3. En la carpeta /etc/fail2ban/jail.d en el archivo "issabel.conf" no faltara los siguiente :

This file is part of the fail2ban-firewalld package to configure the use of

the firewalld actions as the default actions. You can remove this package

(along with the empty fail2ban meta-package) if you do not use firewalld

[DEFAULT]
banaction = firewallcmd-ipset[actiontype=<multiport>]
banaction_allports = firewallcmd-ipset[actiontype=<allports>]

Espero sirva de algo, gracias.

Hola inso

insotec Hola muchas gracias por el aporte, con esto queda protegido?

Has verificado que funcione? Gracias!

insotec Hola. Hya posibilidad que hagas to fork de https://github.com/IssabelFoundation/security/tree/master/setup/etc/fail2ban asi podemos probalo?
Luego podrias hacer un pull request y podria incorporarse en proximos releases.

Gracias.

hgmnetwork
Buenas tardes, gracias por responder, Pues yo digo que NO.
No he generado cambios al Fail2Ban, esperando que me ayudaran a confirmar.

Pensaría que se debería generar cambios al Fail2Ban, esperando sus comentarios, gracias.

insotec sería cuestión de ponerlo en la máquina y probar ataques y verificar si queda protegido.

Si lo pruebas y funciona por favor compártelo.

Antes de probar recuerda hacer copia de los Jail por si falla puedes Restablecer

venturinog
Buenos días, voy a revisar y hacer las pruebas.
No se mucho de programación, pero debe salir algo bueno.

insotec Genial. Quizas no haya que programar, solo adicionar los archivos que mencionas
Avisa para las pruebas

insotec
Buenas noches,
Un comentario externo me indicaban lo siguiente:
Realmente cuando el fail2ban banea una IP, no importa en que servicio (SSH, HTTP, Asterisk), la IP queda baneada en todos los puertos.

Pero ni eso hace el Fail2Ban de Issabel.

insotec Hola, creo que no comprendo. Dices que la configuracion de fal2ban de una instalacion de Issabel no funciona?

A mi tambien me pasa, fail2ban banea una ip por password erróneo y en lugar de bloquear el puerto 5060 bloquea todos los puertos, tanto el 22 como el 443 etc...

RiveraPer Eso es asi por diseño ya que se supone que un ataque al servicio de telefonia es considerado critico. Por otro lado los admin pueden cambiar el puerto de señalizacion y no acondicionar fail2ban para que este en sincronia con el cambio.
Pero otra cosa es que fail2ban no funcione, por eso mi consulta.

venturinog Fail2ban funciona bien, pero algo ha cambiado en alguna actualización.
Antes, al realizar un iptables -vnL se veían todas las reglas de fail2ban y la ips bloquedas, ahora no ves nada de iptables hasta que realiza un bloqueo, en ese caso si que lo ves en iptables.
Pero el funcionamiento es perfecto.

También es bueno colocar en la lista blanca de IP tus redes de confianza, simplemente las vas agregando separadas por espacio y especificando la máscara. Ej: 192.168.0.0/24 192.168.1.0/24 etc etc, así evitas baneos innecesarios en tus redes conocidas y consideradas seguras.

También aparte del fail2ban recuerden añadir las en el firewall, ya que justo estos días lo comentaba puede que el fail2ban no te bloqueo pero si el firewall.

Es importante añadir las iPS también al firewall este va por orden de arriba hacia abajo así la regla 1 ejecuta la primera y va a la 2 , 3 etc subir las reglas de autorización.

En cuanto al bloqueo lo bueno es que efectivamente bloqueo todo acceso si no 1 ip podría ir atacando puerto a Puerto y sería peligroso e inseguro.

Hola,

Está publicado desde hoy en el repositorio beta un update de issabel-security version 4.0.0 release 8 que hace algunos cambios fundamentales en la configuración de Firewall/Fail2ban y RBL.

Tiene una interfaz renovada y más moderna y cómoda para configurar, es posible reordenar reglas con drag & drop en lugar de incontables clicks en flechitas para arriba y para abajo.

Muestra las reglas de GeoIP en una tabla separada y arriba de todo, representando el órden de evaluación de las reglas (GeoIP siempre evalúa antes que cualquier regla definida por el usuario)

Incluye un módulo white list que permite agregar direcciones IP individuales o subredes a gusto. Esta lista blanca permite el tráfico entrante y evalúa antes que ningun otro filtro, antes que GeoIP, antes que la lista negra RBL o las reglas en si del firewall. De modo que en esa lista blanca pueden listar sus IPs o redes de confianza y no hace falta configurarlas individualmente en fail2ban u o en otras partes.

El módulo está en etapa beta , como tal necesitamos algunos valientes actualicen y lo prueben, y vean si efectivamente cumple su función como está aquí descripto.

Saludos,

asternic Lo he actualizado, yo solo uso fail2ban ya que configuro manualmente las reglas de iptables con geoip.
Fail2ban funciona bien, bloquea a los 5 intentos (lo he bajado a 3) y al ver el status ya no da ningún error.
Gracias por la actualización.

asternic
Buenas tardes
Excelente cambio a Issabel, muchas gracias.

En Issabel / Seguridad/Cortafuegos/GeoIP KEY
¿Será posible que se agregue la opción:
UserId:
LicenseKey:
Edition IDs of the databases:
Y los tiempos de actualización de GeoIP.

Saludos.

asternic
Hola asternic
Esperando que todo ande bien.

Es posible que nos ayudes con la actualización de "issabel-security-4.0.0-10", en especial el archivo "fwconfig"

Saludos.

asternic
Buena noche, favor de corregir el detalle de white list en la versión de issabel-security version 4.0.0 release 10.
Saludos.

Alguien a logrado que Fail2ban envia notificaciones por email? algun manual asunto de como hacerlo?

jeffreytresa La dirección de correo se configura en /etc/fail2ban/jail.conf

jeffreytresa
Buenas tardes,

Debes configurar de inicio una cuenta de correo En "Issabel/Correo Electrónico/SMTP Remoto".
Después editar el archivo "/etc/fail2ban/jail.conf" y colocar tu dirección de correo.

Sería bien que desde "Issabel/ Seguridad /Fail2Ban /Administrador" se colocara las cuentas de correo.

Saludos.