varnav Sep 19 2013 at 12:00

Лёгкая настройка Asterisk + Fail2Ban

1 min

47K

System administration**nix*Server Administration*

Recovery Mode

+11

Comments 12

Suncheez Sep 19 2013 at 16:57

А что, alwaysauthreject = yes отменили?
У меня fail2ban с этим прекрасно работает не первый год.

varnav Sep 20 2013 at 11:41

fail2ban не может работать с alwaysauthreject, т.к. в таком случае ip адрес атакующего не возвращается в логах.

Обсуждение здесь.

varnav Sep 20 2013 at 11:43

Если вкратце, в обычных логах будет сообщение:

[Jul 16 14:27:53] NOTICE[29385] chan_sip.c: Sending fake auth rejection for device "roderickm" <sip:girstwce@192.168.1.104>;tag=PNNjEgTzE4K.2w221Kd5qYLoL5MCG8I

К несчастью 192.168.1.140 — это айпишник самого астериска, и если отлавливать эти сообщения — то fail2ban забанит разве что свой собственный внешний ip. Айпишника с которого была попытка регистрации в обычных логах нет.

varnav Sep 20 2013 at 11:40

Necotyan Oct 5 2013 at 17:06

ИП адрес выдаётся при включенном core set verbose

varnav Oct 5 2013 at 19:55

Да, только это не адрес атакующего, а адрес самого астериска.

Necotyan Oct 5 2013 at 20:30

Лично я верю логам астера по следующей причине:
NOTICE[1437] chan_sip.c: Registration from '«op35» <sip:op35@192.168.10.6>' failed for '192.168.10.146' — Wrong password
Где 192.168.10.6 сервер, а 192.168.10.146 атакующий.

varnav Oct 5 2013 at 23:36

Да, но такое сообщение возникает в режиме alwaysauthreject = no, который не рекомендуется использовать.

Necotyan Oct 6 2013 at 00:15

Верно. Нерекомендуется. Но это не для наших целей. А наша цель — заблокировать.
И конечно всегда есть вариант исправить сорсы, что и рекомендовалось в том посте про file2ban.

Necotyan Oct 5 2013 at 20:43

Моё решение по защите астериска было основано не столько на блокировке подбора паролей, сколько на блокировании на стадии поиска экстеншнов.
Для того что бы начать подбор пароля атакующему сначала необходимо найти такой экстеншн.
Для облегчения ему этой задачи заводился экстеншн с номер 100 с пустым паролем и специальным контекстом который принимал любой номер, поднимал трубку и что нибудь туда пел или молчал несколько часов.
Любой регистрируемый ип адрес логировался и далее обрабатывался fail2ban-ом.

varnav Oct 5 2013 at 23:37

alwaysauthreject = yes делает поиск экстеншенов бесполезным, т.к. есть экстеншен, нет экстеншена — ошибка будет выдаваться одинаковая.

Necotyan Oct 6 2013 at 00:18

Можно тупо отвечать, что нету, а можно тупо заблокировать и продолжать работу без лишних ответов кому не поподя.

Show the best of all time