artem
25.03.2013
16726

Защита Asterisk от перебора паролей SIP и SIP DoS

1. Настройка Asterisk
2. Правила iptables
3. Настройка fail2ban

 

Настройки Asterisk


Некоторые настройки протокола SIP мешают подбору паролей:

alwaysauthreject=yes

следует установить в sip.conf, после этого, на REGISTER с несуществующим номером Asterisk станет отвечать «401 Unathorized» вместо «404 Not Found», и взломщик не сможет определить, какие номера заведены на АТС.

deny=0.0.0.0/0.0.0.0
permit=<подсеть_из_которой_можно_подключаться>

с помощью этих настроек можно ограничить диапазон IP-адресов, с которых Asterisk будет принимать SIP-трафик для конкретного номера.

secret=<пароль>

если использовать пароли длиной 15 и более символов, состоящие из прописных букв, строчных букв и цифр, их подбор займет много лет.

 

Правила iptables


Следующие правила iptables логируют SIP-пакеты и банят IP-адрес на 1 час если с него пришло более 4-х SIP-пакетов за 30 секунд.

iptables -N BLACKLIST
iptables -A BLACKLIST -m recent —set —name blacklist
iptables -A BLACKLIST -j DROP

iptables -N SIP
iptables -A SIP -m recent —rcheck —name blacklist —seconds 3600 —hitcount 1 -j DROP
iptables -A SIP -m recent —set —name sip
iptables -A SIP -m recent —update —seconds 30 —hitcount 5 —name sip -m limit —limit 5 -j LOG —log-prefix=SIP_BRUTEFORCE_
iptables -A SIP -m recent —update —seconds 30 —hitcount 5 —name sip -j BLACKLIST
iptables -A SIP -j ACCEPT

iptables -A INPUT -m state —state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp —dport 5060 -j SIP

Сбрасывайте весь ipv6 трафик, если он Вам не нужен.

ip6tables -P INPUT DROP

 

Настройка fail2ban


Фильтры логов Asterisk входят в стандартный набор фильтров fail2ban. Настройки из /etc/fail2ban/jail.conf:

[DEFAULT]
ignoreip = 127.0.0.1
bantime = 3600
findtime = 600
backend = auto
[asterisk-iptables]
enabled = true
filter  = asterisk
action  = iptables-allports[name=SIP, protocol=all]
sendmail-whois[name=SIP, dest=your@email]
logpath = /var/log/fail2ban.log
maxretry = 5

Банит IP-адрес на 1 час и отправляет его whois-информацию на почту, если в течение 10-ти минут в логах Asterisk будет обнаружено более 5-ти неудачных попыток вызова/регистрации/входа. Считаются SIP, IAX2 и даже AMI.

 
avatar
  Подписаться  
Уведомление о

Остались вопросы?

Я - Першин Артём, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование

ближайшие курсы

ближайшие Вебинары

ONLINE

Why Choose HUGE?

Unlimited pre-designed elements

Each and every design element is designed for retina ready display on all kind of devices

User friendly interface and design

Each and every design element is designed for retina ready display on all kind of devices

100% editable layered PSD files

Each and every design element is designed for retina ready display on all kind of devices

Created using shape layers

Each and every design element is designed for retina ready display on all kind of devices