セキュリティを強化するために anchor.png

まずは、うちの方針としては、外部に公開するSIPレジストリのポートは、SIP-TLSの暗号化ポートに絞ってます。RTPもSRTPにして、通信パケットを暗号化するよう心がけております。 が…ブルートフォースアタックや、パスワードリスト攻撃等で、アカウントが乗っ取られてしまった場合は、通話されてしまいますので、お金がかかってしまいます。これは痛い…

なもんで、SIPレジストリに簡単に成功させないように、ツールを設定します。

Page Top

Fail2ban anchor.png

Fail2banは、ログを監視し、ある特定のキーワードにひっかかるような事象があった場合、攻撃してきたIPアドレスに対し、特定の防御をしてくれます。

さて、どー言うことかというと。

Asteriskのログを調べて、ログインに失敗したようなログが出た場合、IPフィルタでそのアドレスを一定時間遮断してくれます。これは効果的な防御ですね~♪

なわけで設定してみましょ。

Page Top

インストール anchor.png

Fail2banはGentooPortageにありますので

# emerge fail2ban

でインストールできます。自動起動は

# rc-update add fail2ban default

ですね。

Page Top

設定 anchor.png

インストール段階で、結構いろんな認証系の設定が入っております。どのSyslogに何のログが出るかを調べておく必要はありますが…Asteriskの場合はいじる必要なかったっす。

んで、/etc/fail2ban/jail.confってのをみると、いろいろと設定があり、デフォルトでは停止状態になっております。私は、asterisk-tcpってルールの中の

enabled = true

に変更しております。これで、SIP認証に失敗した場合、TCPのポート5060、5061を自動的に遮断してくれます。いやー、これは安心!

さて…これを応用すると、HTTP/IMAP/SMTPの認証に失敗した場合、そのIPを遮断するようなルールも作れます。必要に応じて強化しようと思いまーす。


Front page   Freeze Diff Backup Copy Rename ReloadPrint View   New Page Page list Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom) Powered by xpWiki
Counter: 1901, today: 1, yesterday: 2
Princeps date: 2014-10-05 (Sun) 23:01:39
Last-modified: 2014-10-05 (Sun) 23:01:39 (JST) (2214d) by maruo
ページ内検索

ログイン

ユーザー名:


パスワード:





パスワード紛失

メインメニュー

サブメニュー
自宅鯖計画

Gentoo Linuxな生活

玄箱HGにGentoo格闘記

航空ショーへ行こう

モータースポーツな世界

奥深き写真の世界への誘い

我思う ゆえに我あり



携帯用QRコード