Linux Mint    Ubuntu    openSUSE    Asterisk    FreeBSD    Android    Nokia N900    Игры в Linux
 Linux Mint    Ubuntu     openSUSE     Asterisk     FreeBSD     Android     N900     Games

Asterisk 12 защита от брутфорса с помощью Fail2Ban

Еще раз всем привет.

Эта статья продолжение предыдущей, но уже про защиту самого asterisk.

Считается, что у нас установлен, настроен и нормально работает asterisk 12, возможно другая версия, проверяйте не уверен, что с другой все будет так же.

Как установить Fail2Ban на вашем дистрибутиве читайте документацию от вашего Linux.

Мы же делаем следующее:

Первым делом нужно включить в астере логирование безопасности, да да, по умолчанию оно отключено(я уже устал писать об этом разработчикам каждый раз приходит ответ, что я ламер и ничего не понимаю, возможно таким образом они сами же и ломают чужие системы), для этого в файле /etc/asterisk/logger.conf  или если у вас FreePBX из графики добавляем:

security => security

Перегружаем астер, в каталоге логов должен появиться одноименный файл.

Затем добавляем или правим фильтр /etc/fail2ban/filter.d/asterisk.conf, чтобы там появилась такая строчка:

\[\]\s*(?:NOTICE|SECURITY).*SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",.*RemoteAddress="IPV[46]/(UD|TC)P/<HOST>.*

ну и включаем jail:

[asterisk-tcp]

enabled  = false
filter   = asterisk
port     = 5060,5061
protocol = tcp
logpath  = /var/log/asterisk/security

[asterisk-udp]

enabled = true
filter   = asterisk
port     = 1060,1061
protocol = udp
logpath  = /var/log/asterisk/security

Разумеется ставите свои параметры, самое главное в портах не ошибиться.

Готова, можете не беспокоиться теперь на подбор пароля уйдет целая вечность.

jekson аватар

Я правильно понимаю - он блокирует IP адрес после неудачных попыток авторизации? А эти параметры мы настраиваем в общем конфиге?

BAF аватар

ну и включаем jail - это означает, что в файле /etc/fail2ban/jail.conf настраиваем параметры для бана тем кто пытается подобрать пароль на вашем сервере. Верно.

Эксперт - зто человек, который совершил все возможные ошибки в очень узкой специальности.

Гость аватар

Привет, подскажи плиз где прописать чтобы падали логи в файл freepbx_security.log, заранее благодарен.

BAF аватар

Так это поумолчанию во FreePBX есть, ничего прописывать не надо
egrep -r freepbx_security.log /var/www/
/var/www/html/admin/libraries/utility.functions.php: $log_file = $path.'/freepbx_security.log';

Эксперт - зто человек, который совершил все возможные ошибки в очень узкой специальности.

Vasiliy_LiGHT аватар

Ребят, а простыми словами - для чего эта программа нужна? Asterisk

BAF аватар

Бкзгранично функциональная мини АТС.

Эксперт - зто человек, который совершил все возможные ошибки в очень узкой специальности.

Vasiliy_LiGHT аватар

Это VoIP телефония? Как режим в скайпе, когда можно на простые телефоны звонить?

BAF аватар

Ну не только VoIP, но и E1, SDH, TDM телефоны(FXO/FXS), скайп, записи звонков, клиентский портал, видеозвонки, видеои и просто конференции и много много другое. К примеру одному заказчику надо было что бы он жил и работал в турции, а офис был в астане с 20 сотрудниками, а звонили они ему как будто он за стенкой в астане сидит. назвать это режим скайпа это оскорбление. Скайп фуфло пропроитарное. Кстате на базе астериск можно свой собственный аналог скайпа сделать без проблем.

Эксперт - зто человек, который совершил все возможные ошибки в очень узкой специальности.

Vasiliy_LiGHT аватар

т.е., это реально даже на маемо? запилить аналог скайпа? в репозиториях есть какая-то версия