Пользователь
0,4
рейтинг
9 января в 14:34

Администрирование → Лёгкая настройка Asterisk + Fail2Ban recovery mode

*nix*
В сентябре 2013 я опубликовал крайне популярную статью с таким-же названием. Однако с тех пор всё радикально поменялось со стороны fail2ban — добавлена поддержка asterisk «из коробки», а также с версии 0.9 радикально изменился формат конфигурационных файлов. Поэтому я публикую новую статью на эту тему, так как действия по настройке теперь тоже радикально иные.

До момента появления лога security в Asterisk 10-й версии fail2ban не мог корректно защищать asterisk от популярного вида атак — подбора sip пароля к экстеншенам, т.к. в обычных логах asterisk ip-адрес атакующего не отображался.
С появлением лога security эта проблема решена.

Если у вас Asterisk 10 и новее, его успешно можно использовать на пару с fail2ban. Настройка довольно простая.


1. Отредактируйте /etc/asterisk/logger.conf добавив к стандартному логу логирование событий безопасности:

messages => notice,warning,error,security


2. Перезапустите систему логирования asterisk-а командой

asterisk -x "logger reload"


3. Включите jail 'asterisk' в fail2ban, добавив в файл /etc/fail2ban/jail.local

[asterisk]
enabled = true
bantime = 86400


4. Перезагрузите fail2ban чтобы он пересчитал конфигурацию

fail2ban-client reload


5. Проверьте что всё в порядке

fail2ban-client status asterisk


Готово! fail2ban будет обнаруживать и предотвращать атаки по подбору SIP паролей.
@varnav
карма
9,0
рейтинг 0,4
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Администрирование

Комментарии (6)

  • 0
    Лень страшная штука
    sourceforge.net/p/raspbx/discussion/tutorials/thread/6288a838 тут более грамотная настройка fail2ban для Asterisk.
    • +1
      Не «более грамотная», а именно та самая устаревшая, о которой речь в 1-м абзаце.
  • 0
    Работает ли с pjsip, или только chan_sip?
    • 0
      Не проверял, но, насколько понимаю, будет работать с обеими одинаково, security framework унифицирован.
      • 0
        Проверил. C pjsip — работать не будет.
        Нужно создать лог с notify и security, а после — добавить в /etc/fail2ban/filter.d/asterisk.conf следующий regexp:
        ^.* NOTICE\[\d+\] res_pjsip/pjsip_distributor\.c: Request from '"\d+" <sip:\d+@.*>' failed for '<HOST>.* \(callid: .*\) - No matching endpoint found$
        

        • 0
          Спасибо. Советую закоммитить это дополнение в стандартные фильтры fail2ban.
          https://github.com/fail2ban/fail2ban/blob/master/config/filter.d/asterisk.conf

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.