В сентябре 2013 я опубликовал крайне популярную статью с таким-же названием. Однако с тех пор всё радикально поменялось со стороны fail2ban — добавлена поддержка asterisk «из коробки», а также с версии 0.9 радикально изменился формат конфигурационных файлов. Поэтому я публикую новую статью на эту тему, так как действия по настройке теперь тоже радикально иные.
До момента появления лога security в Asterisk 10-й версии fail2ban не мог корректно защищать asterisk от популярного вида атак — подбора sip пароля к экстеншенам, т.к. в обычных логах asterisk ip-адрес атакующего не отображался.
С появлением лога security эта проблема решена.
Если у вас Asterisk 10 и новее, его успешно можно использовать на пару с fail2ban. Настройка довольно простая.
1. Отредактируйте /etc/asterisk/logger.conf добавив к стандартному логу логирование событий безопасности:
2. Перезапустите систему логирования asterisk-а командой
3. Включите jail 'asterisk' в fail2ban, добавив в файл /etc/fail2ban/jail.local
4. Перезагрузите fail2ban чтобы он пересчитал конфигурацию
5. Проверьте что всё в порядке
Готово! fail2ban будет обнаруживать и предотвращать атаки по подбору SIP паролей.
До момента появления лога security в Asterisk 10-й версии fail2ban не мог корректно защищать asterisk от популярного вида атак — подбора sip пароля к экстеншенам, т.к. в обычных логах asterisk ip-адрес атакующего не отображался.
С появлением лога security эта проблема решена.
Если у вас Asterisk 10 и новее, его успешно можно использовать на пару с fail2ban. Настройка довольно простая.
1. Отредактируйте /etc/asterisk/logger.conf добавив к стандартному логу логирование событий безопасности:
messages => notice,warning,error,security
2. Перезапустите систему логирования asterisk-а командой
asterisk -x "logger reload"
3. Включите jail 'asterisk' в fail2ban, добавив в файл /etc/fail2ban/jail.local
[asterisk]
enabled = true
bantime = 86400
4. Перезагрузите fail2ban чтобы он пересчитал конфигурацию
fail2ban-client reload
5. Проверьте что всё в порядке
fail2ban-client status asterisk
Готово! fail2ban будет обнаруживать и предотвращать атаки по подбору SIP паролей.