Проект «SnakeProject» Михаила Козлова

⇒ Voice(Asterisk\Cisco) ⇐

CISCO

Microsoft

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Asterisk: безопастность и fail2ban

Рассмотрим самые необходимые меры предосторожности от взлома Asterisk:

Защищаем сервер от перебора по номерам в sip.conf
alwaysauthreject=yes;

Смена SIP порта(порт подключения телефонов к Asterisk, меняйте на нужный Вам):
/etc/asterisk/sip.conf
[general]:
bindport=3361;

Запрещаем SIP подключение вне нашей локальной сети(для всех sip-пиров добавляем строки):
/etc/asterisk/sip.conf
deny=0.0.0.0/0.0.0.0; 
permit=192.168.0.1/24; 
allowguest=no; 

Сложные пароли для sip-клиентов в sip.conf
secret=b34!#yurF8)@kd54

Запрет международных вызовов (на примере в России  необходимо набрать код 810) на уровне диалплана: /etc/asterisk/extensions.conf
В нужный Вам контекст добавьте строку: 
exten => _7810X.,n,Hangup();

Настройка  iptables:
/etc/sysconfig/iptables
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j DROP -A INPUT -i lo -j ACCEPT 

Для протокола SIP:
iptables -A INPUT -p udp -m udp --dport 5004:5082 -j ACCEPT

Для протокола IAX2:
iptables -A INPUT -p udp -m udp --dport 4569 -j ACCEPT

Медиапотоки RTP:
iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

Некоторые используют протокол MGCP (media gateway control protocol):
iptables -A INPUT -p udp -m udp --dport 2727 -j ACCEPT

Пример разрешения ssh
-A INPUT -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

Сообщить его источнику об отказе icmp-host-prohibited — узел запрещен
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

Отключаем ненужные модули и протоколы Asterisk
/etc/asterisk/modules.conf
и в этот файл прописываем ненужные Вам модули, например: 
noload => chan_skinny.so 

noload => chan_mgcp.so 

noload => chan_iax2.so 
 

Настраиваем fail2ban:
fail2ban собирает информацию с лог-файлов (SSH, Asterisk и др.) и блокирует ip адрес злоумышленника

Пример на debian:

Шаг 1. Установка fail2ban
# apt-get install fail2ban

Шаг 2. Установка python и iptables
# apt-get install iptables python

Шаг 3. Конфигурация fail2ban

# cd /etc/fail2ban/filter.d
Создадим фильтр для Asterisk:
# vim asterisk.conf 

# Fail2Ban configuration file # $Revision: 250 $ [INCLUDES] # Read common prefixes. If any customizations available -- read them from # common.local #before = common.conf [Definition] #_daemon = asterisk # Option: failregex # Notes.: regex to match the password failures messages in the logfile. The # host must be matched by a group named "host". The tag "" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P\S+) # Values: TEXT failregex = NOTICE.* .*: Registration from '.*' failed for '' - Wrong password NOTICE.* .*: Registration from '.*' failed for '' - No matching peer found NOTICE.* .*: Registration from '.*' failed for '' - Username/auth name mismatch NOTICE.* .*: Registration from '.*' failed for '' - Device does not match ACL NOTICE.* failed to authenticate as '.*'$ NOTICE.* .*: No registration for peer '.*' \(from \) NOTICE.* .*: Host failed MD5 authentication for '.*' (.*) NOTICE.* .*: Failed to authenticate user .*@.* # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT ignoreregex =

Шаг 4. В конец файла /etc/fail2ban/jail.conf добавляем(не забываю указать нужное именно Вам):

[asterisk-iptables]

enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org]
logpath  = /var/log/asterisk/messages 
maxretry = 5
bantime = 259200

Шаг 5. Логирование Asterisk: /etc/asterisk/logger.conf раскомментировать:

[general]
dateformat=%F %T

В консоли перегружаем сервис логирования:
# asterisk -rx "logger reload" 

Шаг 6. Перезапуск.
# /etc/init.d/iptables restart 

# iptables -L -v

Chain INPUT (policy ACCEPT 437 packets, 44507 bytes)
 pkts bytes target     prot opt in     out     source               destination
  437 44507 fail2ban-ASTERISK  all  --  any    any     anywhere             anywhere
  103  7928 fail2ban-ssh  tcp  --  any    any     anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 219 packets, 27147 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain fail2ban-ASTERISK (1 references)
 pkts bytes target     prot opt in     out     source               destination
  437 44507 RETURN     all  --  any    any     anywhere             anywhere

Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination
  103  7928 RETURN     all  --  any    any     anywhere             anywhere

Шаг 7. Автозапуск fail2ban и iptables:
# update-rc.d iptables defaults 
# update-rc.d fail2ban defaults 

Комментарии пользователей