В сентябре 2013 я опубликовал крайне популярную статью с таким-же названием. Однако с тех пор всё радикально поменялось со стороны fail2ban — добавлена поддержка asterisk «из коробки», а также с версии 0.9 радикально изменился формат его конфигурационных файлов. Поэтому я публикую новую статью на эту тему, так как действия по настройке теперь тоже радикально иные.
До момента появления лога security в Asterisk 10-й версии fail2ban не мог корректно защищать asterisk от популярного вида атак — подбора sip пароля к экстеншенам, т.к. в обычных логах asterisk ip-адрес атакующего не отображался.
С появлением лога security эта проблема решена.
Если у вас Asterisk 10 и новее, его успешно можно использовать на пару с fail2ban. Настройка довольно простая.
1. Отредактируйте /etc/asterisk/logger.conf добавив к стандартному логу логирование событий безопасности:
messages => notice,warning,error,security2. Перезапустите систему логирования asterisk-а командой
asterisk -x "logger reload" 3. Включите jail ‘asterisk’ в fail2ban, добавив в файл /etc/fail2ban/jail.local
[asterisk] enabled = true bantime = 86400 4. Перезагрузите fail2ban чтобы он пересчитал конфигурацию
fail2ban-client reload 5. Проверьте что всё в порядке
fail2ban-client status asterisk Готово! fail2ban будет обнаруживать и предотвращать атаки по подбору SIP паролей.
ссылка на оригинал статьи http://habrahabr.ru/post/274731/
Добавить комментарий