Лёгкая настройка Asterisk + Fail2Ban

Статья устарела и переписана, читайте новую статью.
Share post
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 12

    0
    А что, alwaysauthreject = yes отменили?
    У меня fail2ban с этим прекрасно работает не первый год.
      0
      fail2ban не может работать с alwaysauthreject, т.к. в таком случае ip адрес атакующего не возвращается в логах.

      Обсуждение здесь.
        +1
        Если вкратце, в обычных логах будет сообщение:

        [Jul 16 14:27:53] NOTICE[29385] chan_sip.c: Sending fake auth rejection for device "roderickm" <sip:girstwce@192.168.1.104>;tag=PNNjEgTzE4K.2w221Kd5qYLoL5MCG8I

        К несчастью 192.168.1.140 — это айпишник самого астериска, и если отлавливать эти сообщения — то fail2ban забанит разве что свой собственный внешний ip. Айпишника с которого была попытка регистрации в обычных логах нет.
        0
        .
          0
          ИП адрес выдаётся при включенном core set verbose
            0
            Да, только это не адрес атакующего, а адрес самого астериска.
              0
              Лично я верю логам астера по следующей причине:
              NOTICE[1437] chan_sip.c: Registration from '«op35» <sip:op35@192.168.10.6>' failed for '192.168.10.146' — Wrong password
              Где 192.168.10.6 сервер, а 192.168.10.146 атакующий.
                0
                Да, но такое сообщение возникает в режиме alwaysauthreject = no, который не рекомендуется использовать.
                  0
                  Верно. Нерекомендуется. Но это не для наших целей. А наша цель — заблокировать.
                  И конечно всегда есть вариант исправить сорсы, что и рекомендовалось в том посте про file2ban.
            0
            Моё решение по защите астериска было основано не столько на блокировке подбора паролей, сколько на блокировании на стадии поиска экстеншнов.
            Для того что бы начать подбор пароля атакующему сначала необходимо найти такой экстеншн.
            Для облегчения ему этой задачи заводился экстеншн с номер 100 с пустым паролем и специальным контекстом который принимал любой номер, поднимал трубку и что нибудь туда пел или молчал несколько часов.
            Любой регистрируемый ип адрес логировался и далее обрабатывался fail2ban-ом.
              0
              alwaysauthreject = yes делает поиск экстеншенов бесполезным, т.к. есть экстеншен, нет экстеншена — ошибка будет выдаваться одинаковая.
                0
                Можно тупо отвечать, что нету, а можно тупо заблокировать и продолжать работу без лишних ответов кому не поподя.

            Only users with full accounts can post comments. Log in, please.