Защита Asterisk от перебора паролей SIP и SIP DoS
Доступ к хосту по протоколу SIP не всегда можно ограничить определенным набором IP-адресов. Например, если к Asterisk нужно подключить клиент с динамическим IP-адресом, то в правилах iptables придется разрешить SIP с любых IP-адресов, и станция станет уязвима к подбору SIP-паролей. Подбор SIP-паролей занимает ресурсы АТС, так что это может стать для Asterisk еще и DoS-атакой. Ниже приведен ряд мер, которые позволят предотвратить успешный подбор SIP-пароля, а так же понизят затраты ресурсов АТС.
1. Настройка Asterisk
2. Правила iptables
3. Настройка fail2ban
Настройки Asterisk
Некоторые настройки протокола SIP мешают подбору паролей:
alwaysauthreject=yes
следует установить в sip.conf, после этого, на REGISTER с несуществующим номером Asterisk станет отвечать «401 Unathorized» вместо «404 Not Found», и взломщик не сможет определить, какие номера заведены на АТС.
deny=0.0.0.0/0.0.0.0
permit=<подсеть_из_которой_можно_подключаться>
с помощью этих настроек можно ограничить диапазон IP-адресов, с которых Asterisk будет принимать SIP-трафик для конкретного номера.
secret=<пароль>
если использовать пароли длиной 15 и более символов, состоящие из прописных букв, строчных букв и цифр, их подбор займет много лет.
Правила iptables
Следующие правила iptables логируют SIP-пакеты и банят IP-адрес на 1 час если с него пришло более 4-х SIP-пакетов за 30 секунд.
iptables -N BLACKLIST
iptables -A BLACKLIST -m recent —set —name blacklist
iptables -A BLACKLIST -j DROP
iptables -N SIP
iptables -A SIP -m recent —rcheck —name blacklist —seconds 3600 —hitcount 1 -j DROP
iptables -A SIP -m recent —set —name sip
iptables -A SIP -m recent —update —seconds 30 —hitcount 5 —name sip -m limit —limit 5 -j LOG —log-prefix=SIP_BRUTEFORCE_
iptables -A SIP -m recent —update —seconds 30 —hitcount 5 —name sip -j BLACKLIST
iptables -A SIP -j ACCEPT
iptables -A INPUT -m state —state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp —dport 5060 -j SIP
Сбрасывайте весь ipv6 трафик, если он Вам не нужен.
ip6tables -P INPUT DROP
Настройка fail2ban
Фильтры логов Asterisk входят в стандартный набор фильтров fail2ban. Настройки из /etc/fail2ban/jail.conf:
[DEFAULT]
ignoreip = 127.0.0.1
bantime = 3600
findtime = 600
backend = auto
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=SIP, protocol=all]
sendmail-whois[name=SIP, dest=your@email]
logpath = /var/log/fail2ban.log
maxretry = 5
Банит IP-адрес на 1 час и отправляет его whois-информацию на почту, если в течение 10-ти минут в логах Asterisk будет обнаружено более 5-ти неудачных попыток вызова/регистрации/входа. Считаются SIP, IAX2 и даже AMI.
Остались вопросы?
Я - Кондрашин Игорь, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.
категории
- DECT
- Linux
- Вспомогательный софт при работе с Asterisk
- Интеграция с CRM и другими системами
- Интеграция с другими АТС
- Использование Elastix
- Использование FreePBX
- Книга
- Мониторинг и траблшутинг
- Настройка Asterisk
- Настройка IP-телефонов
- Настройка VoIP-оборудования
- Новости и Статьи
- Подключение операторов связи
- Разработка под Asterisk
- Установка Asterisk
VoIP оборудование
ближайшие курсы
Новые статьи
10 доводов в пользу Asterisk
Распространяется бесплатно.
Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.
Безопасен в использовании.
Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.
Надежен в эксплуатации.
Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.
Гибкий в настройке.
Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.
Имеет огромный функционал.
Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.
Интегрируется с любыми системами.
То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.
Позволяет телефонизировать офис за считанные часы.
В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.
Отличная масштабируемость.
Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.
Повышает управляемость бизнеса.
Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.
Снижает расходы на связь.
Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.