Обновить
Комментарии 12
А что, alwaysauthreject = yes отменили?
У меня fail2ban с этим прекрасно работает не первый год.
fail2ban не может работать с alwaysauthreject, т.к. в таком случае ip адрес атакующего не возвращается в логах.

Обсуждение здесь.
Если вкратце, в обычных логах будет сообщение:

[Jul 16 14:27:53] NOTICE[29385] chan_sip.c: Sending fake auth rejection for device "roderickm" <sip:girstwce@192.168.1.104>;tag=PNNjEgTzE4K.2w221Kd5qYLoL5MCG8I

К несчастью 192.168.1.140 — это айпишник самого астериска, и если отлавливать эти сообщения — то fail2ban забанит разве что свой собственный внешний ip. Айпишника с которого была попытка регистрации в обычных логах нет.
ИП адрес выдаётся при включенном core set verbose
Да, только это не адрес атакующего, а адрес самого астериска.
Лично я верю логам астера по следующей причине:
NOTICE[1437] chan_sip.c: Registration from '«op35» <sip:op35@192.168.10.6>' failed for '192.168.10.146' — Wrong password
Где 192.168.10.6 сервер, а 192.168.10.146 атакующий.
Да, но такое сообщение возникает в режиме alwaysauthreject = no, который не рекомендуется использовать.
Верно. Нерекомендуется. Но это не для наших целей. А наша цель — заблокировать.
И конечно всегда есть вариант исправить сорсы, что и рекомендовалось в том посте про file2ban.
Моё решение по защите астериска было основано не столько на блокировке подбора паролей, сколько на блокировании на стадии поиска экстеншнов.
Для того что бы начать подбор пароля атакующему сначала необходимо найти такой экстеншн.
Для облегчения ему этой задачи заводился экстеншн с номер 100 с пустым паролем и специальным контекстом который принимал любой номер, поднимал трубку и что нибудь туда пел или молчал несколько часов.
Любой регистрируемый ип адрес логировался и далее обрабатывался fail2ban-ом.
alwaysauthreject = yes делает поиск экстеншенов бесполезным, т.к. есть экстеншен, нет экстеншена — ошибка будет выдаваться одинаковая.
Можно тупо отвечать, что нету, а можно тупо заблокировать и продолжать работу без лишних ответов кому не поподя.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.