18 июл. 2022 г.

Настройка fail2ban для защиты asterisk 1.4, 1.6, 1.8

 К сожалению, в сети интернет множество мамкиных хакеров, пытающихся подобрать логин без пароля или иным способом брутфорсить сервера IP телефонии, имеющие доступ из интернет. Отсеять большинство из них помогает смена внешнего порта со стандартного 5060 на какой-либо другой. Но всё же брутфорс иногда возникает, что немного раздражает и представляет призрачную угрозу.

Оговорюсь, что здесь рассмотрен вариант конфигурации довольно старых версий Asterisk - 1.8 и ниже. Для настройки Asterisk начиная с версии 10 и новее с помощью отдельного файла логирования security, советую посмотреть ссылку [1].

Для блокировки подбора пользователей/паролей для различных сервисов существует демон fail2ban, который после указанного количества ошибочных попыток добавляет правило в iptables на блокировку доступа к серверу вообще для IP адреса нарушителя (на указанное время).

Перед началом настройки необходимо установить iptables и fail2ban, если их ещё нет. Также необходимо настроить iptables так, чтобы был доступ к серверу asterisk извне - отключить или добавить правило для порта asterisk. Если вы читаете эту статью, то у вас уже всё должно быть окей с этим.

Настройка ведения логов asterisk

В первую очередь имеет смысл настроить ведение логов asterisk, чтобы информация сразу же начала собираться в нужном нам формате и виде. Для этого в каталоге конфигурации asterisk (по умолчанию это /etc/asterisk) найдите файл logger.conf и раскомментируйте (уберите точку с запятой в начале строки):

dateformat=%F %T ; ISO 8601 date format

Это нужно для того, чтобы asterisk писал в логи дату в правильном формате:
год-месяц-день часы:минуты:секунды

После этого перезапускаем сервис asterisk:

service asterisk restart

Настройка правил фильтрации

Теперь нам необходимо создать фильтр, который будет извлекать из общего потока сообщений астериска потенциально опасные события (неверный логин/пароль, попытка входа с неразрешенного IP адреса, и т.д. и т.п.). При этом нам необходимо не только обнаруживать такие потенциально опасные события, но и вычленять оттуда IP адрес, с которого было выполнено действие. То есть мы не просто ищем определенные строки в файлах событий астериска, а настраиваем правила фильтрации.
Правила фильтрации можно прописать в файле /etc/fail2ban/filter.d/asterisk.conf

Вот образец содержимого этого файла:

# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf


[Definition]

#_daemon = asterisk

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

# Asterisk 1.8 uses Host:Port format which is reflected here

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Device does not match ACL
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Not a local domain
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Peer is not supposed to register
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - ACL error (permit/deny)
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Not a local domain
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - ACL error (permit/deny)
            NOTICE.* .*: Registration from '\".*\".*' failed for '<HOST>:.*' - No matching peer found
            NOTICE.* .*: Registration from '\".*\".*' failed for '<HOST>:.*' - Wrong password
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
            NOTICE.* <HOST> failed to authenticate as '.*'$
            NOTICE.* .*: Sending fake auth rejection for device .*\<sip:.*\@<HOST>\>;tag=.*
            NOTICE.* .*: <HOST> tried  to authenticate with nonexistent user '.*'
            VERBOSE.*SIP/<HOST>-.*Received incoming SIP connection from unknown peer

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

В asterisk версии 1.4 и более ранних используются строки типа

"… failed for '' …"

а в asterisk 1.8 и выше - строки

"… failed for ':.*' …"

поскольку начиная с версии asterisk 1.8 в логах появилась информация о номере порта, которой нет в asterisk 1.4. Приведенный выше вариант учитывает как старые, так и новые версии asterisk, так что нет необходимости в нем что-либо менять.

Настройка изоляторов (jails) для fail2ban

Теперь нам необходимо создать описания так называемых "изоляторов" (jails) для fail2ban, т.е. "привязать" наши фильтры к fail2ban: объяснить, в каких файлах эти строки искать, и что потом делать.

Для этого откройте файл /etc/fail2ban/jail.conf

Убедитесь, что нет (или не включено) других правил, связанных с asterisk! Для этого достаточно сделать поиск по файлу по имени "asterisk" (без кавычек) и убедиться, что если такие правила есть, для каждого из них свойство enabled установлено в false или закомментировать решетками все строчки с правилами:

enabled = false

В тексте правила нужно будет указать путь к логу asterisk. По умолчанию в астериске основной файл логов называется messages, но (например) в FreePBX это будет файл под названием full (как называется файл у Вас - см. настройки астериска в файле logger.conf).

Добавляем текст правила в конец файла:

[asterisk-iptables]
# Enable the rule:
enabled  = true
# Name of filter used is asterisk in folder /etc/fail2ban/filter.d:
filter   = asterisk
# Which asterisk file is used to search:
logpath  = /var/log/asterisk/messages
# Max retries allowed:
maxretry = 5
# Action period of time in seconds:
bantime = 86400
# Period of time to search logpath for occurancies:
findtime = 3600
# What to do if there are more occurancies during findtime more than maxretry -
# Ban client's IP address using iptables and send report to admin's e-mail:
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=admin@yourdomain.com, sender=asterisk@yourdomain.com]
# Whitelist:
#ignoreip = 192.168.1.0/24

Перезапускаем fail2ban:

service fail2ban restart

Для проверки, что fail2ban запущен успешно и правило загружено, выполните следующую команду, которая показывает статус нашего нового jail:

fail2ban-client status asterisk-iptables

В случае, если Вы только что установили fail2ban / iptables, не забудьте убедиться, что они настроены у Вас стартовать автоматически при загрузке системы!

Проверка работы fail2ban

Теперь важный этап - проверить, что всё работает так, как задумано и нигде нет ошибки. Для этого нужно использовать третий компьютер, кроме сервера asterisk и вашего, с которого вы заходите. Чтобы не забанить самого себя.

Последовательность действий для проверки работы связки fail2ban + iptables:

  1. Убедитесь, что у Вас настроен запуск iptables и fail2ban при старте компьютера.
  2. Запустите SIP-клиент (обязательно не с самого сервера asterisk или того, с которого вы на него зашли удалённо, а с другого компьютера!), и указав неверное имя пользователя для авторизации (IP адрес или доменное имя сервера asterisk должно быть верным), попробуйте авторизоваться более 5 раз (как указано в параметре maxretry.

В качестве тестового sip клиента можно использовать программу sipsak, которая работает из командной строки Linux:

aptitude install sipsak
sipsak -U -s sip:test1@asterisk_server_IP_or_domainname

получите 5 раз сообщения вроде:

received:
SIP/2.0 403 Forbidden (Bad auth)
...
error: didn't received '200 OK' on register (see above). aborting

И на maxretry+1-й раз:

send failure: Connection refused

А также письмо на указанный e-mail, что сигнализирует о том, что всё настроено верно.

Проверяем также iptables на сервере asterisk:

iptables -L -n

В цепочке правил Chain f2b-ASTERISK (1 references) должен появится IP адрес ПК, с которого запускали клиент sip.

Ссылки:

  1. http://linux.mixed-spb.ru/asterisk/iptables_setup.php
  2. https://voipmagazine.wordpress.com/2014/11/18/sip-stress-testing-part-2-sipsak/

Комментариев нет:

Отправить комментарий