varnav 19 сен 2013 в 08:00

Лёгкая настройка Asterisk + Fail2Ban

1 мин

48K

*nix * Серверное администрирование * Системное администрирование *

Recovery Mode

+10

Комментарии 12

Suncheez 19 сен 2013 в 12:57

А что, alwaysauthreject = yes отменили?
У меня fail2ban с этим прекрасно работает не первый год.

varnav 20 сен 2013 в 07:41

fail2ban не может работать с alwaysauthreject, т.к. в таком случае ip адрес атакующего не возвращается в логах.

Обсуждение здесь.

varnav 20 сен 2013 в 07:43

Если вкратце, в обычных логах будет сообщение:

[Jul 16 14:27:53] NOTICE[29385] chan_sip.c: Sending fake auth rejection for device "roderickm" <sip:girstwce@192.168.1.104>;tag=PNNjEgTzE4K.2w221Kd5qYLoL5MCG8I

К несчастью 192.168.1.140 — это айпишник самого астериска, и если отлавливать эти сообщения — то fail2ban забанит разве что свой собственный внешний ip. Айпишника с которого была попытка регистрации в обычных логах нет.

varnav 20 сен 2013 в 07:40

Necotyan 5 окт 2013 в 13:06

ИП адрес выдаётся при включенном core set verbose

varnav 5 окт 2013 в 15:55

Да, только это не адрес атакующего, а адрес самого астериска.

Necotyan 5 окт 2013 в 16:30

Лично я верю логам астера по следующей причине:
NOTICE[1437] chan_sip.c: Registration from '«op35» <sip:op35@192.168.10.6>' failed for '192.168.10.146' — Wrong password
Где 192.168.10.6 сервер, а 192.168.10.146 атакующий.

varnav 5 окт 2013 в 19:36

Да, но такое сообщение возникает в режиме alwaysauthreject = no, который не рекомендуется использовать.

Necotyan 5 окт 2013 в 20:15

Верно. Нерекомендуется. Но это не для наших целей. А наша цель — заблокировать.
И конечно всегда есть вариант исправить сорсы, что и рекомендовалось в том посте про file2ban.

Necotyan 5 окт 2013 в 16:43

Моё решение по защите астериска было основано не столько на блокировке подбора паролей, сколько на блокировании на стадии поиска экстеншнов.
Для того что бы начать подбор пароля атакующему сначала необходимо найти такой экстеншн.
Для облегчения ему этой задачи заводился экстеншн с номер 100 с пустым паролем и специальным контекстом который принимал любой номер, поднимал трубку и что нибудь туда пел или молчал несколько часов.
Любой регистрируемый ип адрес логировался и далее обрабатывался fail2ban-ом.

varnav 5 окт 2013 в 19:37

alwaysauthreject = yes делает поиск экстеншенов бесполезным, т.к. есть экстеншен, нет экстеншена — ошибка будет выдаваться одинаковая.

Necotyan 5 окт 2013 в 20:18

Можно тупо отвечать, что нету, а можно тупо заблокировать и продолжать работу без лишних ответов кому не поподя.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий