|
現: 2014-10-05 (日) 23:01:39 maruo  |
| | + | *セキュリティを強化するために [#m2fdaf49] |
| | + | まずは、うちの方針としては、外部に公開するSIPレジストリのポートは、SIP-TLSの暗号化ポートに絞ってます。RTPもSRTPにして、通信パケットを暗号化するよう心がけております。 |
| | + | が…ブルートフォースアタックや、パスワードリスト攻撃等で、アカウントが乗っ取られてしまった場合は、通話されてしまいますので、お金がかかってしまいます。これは痛い… |
| | | | |
| | + | なもんで、SIPレジストリに簡単に成功させないように、ツールを設定します。 |
| | + | |
| | + | *Fail2ban [#w579a466] |
| | + | Fail2banは、ログを監視し、ある特定のキーワードにひっかかるような事象があった場合、攻撃してきたIPアドレスに対し、特定の防御をしてくれます。 |
| | + | |
| | + | さて、どー言うことかというと。 |
| | + | |
| | + | Asteriskのログを調べて、ログインに失敗したようなログが出た場合、IPフィルタでそのアドレスを一定時間遮断してくれます。これは効果的な防御ですね~♪ |
| | + | |
| | + | なわけで設定してみましょ。 |
| | + | |
| | + | **インストール [#h100a9ea] |
| | + | Fail2banはGentooPortageにありますので |
| | + | |
| | + | # emerge fail2ban |
| | + | |
| | + | でインストールできます。自動起動は |
| | + | |
| | + | # rc-update add fail2ban default |
| | + | |
| | + | ですね。 |
| | + | |
| | + | **設定 [#m48bcdbe] |
| | + | インストール段階で、結構いろんな認証系の設定が入っております。どのSyslogに何のログが出るかを調べておく必要はありますが…Asteriskの場合はいじる必要なかったっす。 |
| | + | |
| | + | んで、/etc/fail2ban/jail.confってのをみると、いろいろと設定があり、デフォルトでは停止状態になっております。私は、asterisk-tcpってルールの中の |
| | + | enabled = true |
| | + | に変更しております。これで、SIP認証に失敗した場合、TCPのポート5060、5061を自動的に遮断してくれます。いやー、これは安心! |
| | + | |
| | + | さて…これを応用すると、HTTP/IMAP/SMTPの認証に失敗した場合、そのIPを遮断するようなルールも作れます。必要に応じて強化しようと思いまーす。 |
- Gentoo Linuxな生活/セキュリティを強化する のバックアップ差分(No. All)
- 現: 2014-10-05 (日) 23:01:39 maruo
Counter: 2625,
today: 1,
yesterday: 0
ページへ戻る
