セキュリティを強化するために
まずは、うちの方針としては、外部に公開するSIPレジストリのポートは、SIP-TLSの暗号化ポートに絞ってます。RTPもSRTPにして、通信パケットを暗号化するよう心がけております。 が…ブルートフォースアタックや、パスワードリスト攻撃等で、アカウントが乗っ取られてしまった場合は、通話されてしまいますので、お金がかかってしまいます。これは痛い…
なもんで、SIPレジストリに簡単に成功させないように、ツールを設定します。
Fail2ban
Fail2banは、ログを監視し、ある特定のキーワードにひっかかるような事象があった場合、攻撃してきたIPアドレスに対し、特定の防御をしてくれます。
さて、どー言うことかというと。
Asteriskのログを調べて、ログインに失敗したようなログが出た場合、IPフィルタでそのアドレスを一定時間遮断してくれます。これは効果的な防御ですね~♪
なわけで設定してみましょ。
インストール
Fail2banはGentooPortageにありますので
# emerge fail2ban
でインストールできます。自動起動は
# rc-update add fail2ban default
ですね。
設定
インストール段階で、結構いろんな認証系の設定が入っております。どのSyslogに何のログが出るかを調べておく必要はありますが…Asteriskの場合はいじる必要なかったっす。
んで、/etc/fail2ban/jail.confってのをみると、いろいろと設定があり、デフォルトでは停止状態になっております。私は、asterisk-tcpってルールの中の
enabled = true
に変更しております。これで、SIP認証に失敗した場合、TCPのポート5060、5061を自動的に遮断してくれます。いやー、これは安心!
さて…これを応用すると、HTTP/IMAP/SMTPの認証に失敗した場合、そのIPを遮断するようなルールも作れます。必要に応じて強化しようと思いまーす。
Page Info | |
---|---|
Page Name : | Gentoo Linuxな生活/セキュリティを強化する |
Page aliases : | None |
Page owner : | maruo |
Can Read | |
Groups : | All visitors |
Users : | All visitors |
Can Edit | |
Groups : | No one |
Users : | No one |