![[PukiWiki]](https://femt.ddo.jp/modules/xpwiki/image/pukiwiki.png "[PukiWiki]")
- 差分[1] を表示
- Gentoo Linuxな生活/セキュリティを強化する[2] へ行く。
*セキュリティを強化するために [#m2fdaf49] まずは、うちの方針としては、外部に公開するSIPレジストリのポートは、SIP-TLSの暗号化ポートに絞ってます。RTPもSRTPにして、通信パケットを暗号化するよう心がけております。 が…ブルートフォースアタックや、パスワードリスト攻撃等で、アカウントが乗っ取られてしまった場合は、通話されてしまいますので、お金がかかってしまいます。これは痛い… なもんで、SIPレジストリに簡単に成功させないように、ツールを設定します。 *Fail2ban [#w579a466] Fail2banは、ログを監視し、ある特定のキーワードにひっかかるような事象があった場合、攻撃してきたIPアドレスに対し、特定の防御をしてくれます。 さて、どー言うことかというと。 Asteriskのログを調べて、ログインに失敗したようなログが出た場合、IPフィルタでそのアドレスを一定時間遮断してくれます。これは効果的な防御ですね~♪ なわけで設定してみましょ。 **インストール [#h100a9ea] Fail2banはGentooPortageにありますので # emerge fail2ban でインストールできます。自動起動は # rc-update add fail2ban default ですね。 **設定 [#m48bcdbe] インストール段階で、結構いろんな認証系の設定が入っております。どのSyslogに何のログが出るかを調べておく必要はありますが…Asteriskの場合はいじる必要なかったっす。 んで、/etc/fail2ban/jail.confってのをみると、いろいろと設定があり、デフォルトでは停止状態になっております。私は、asterisk-tcpってルールの中の enabled = true に変更しております。これで、SIP認証に失敗した場合、TCPのポート5060、5061を自動的に遮断してくれます。いやー、これは安心! さて…これを応用すると、HTTP/IMAP/SMTPの認証に失敗した場合、そのIPを遮断するようなルールも作れます。必要に応じて強化しようと思いまーす。
- Gentoo Linuxな生活/セキュリティを強化する のバックアップソース(No. All)
- 現: 2014-10-05 (日) 23:01:39 maruo[3]
Links list
(This host) = https://femt.ddo.jp
- (This host)/modules/xpwiki/index.php?cmd=backup&pgid=273&age=Cur&action=diff
- (This host)/modules/xpwiki/?Gentoo%20Linux%E3%81%AA%E7%94%9F%E6%B4%BB%2F%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%92%E5%BC%B7%E5%8C%96%E3%81%99%E3%82%8B
- (This host)/userinfo.php?uid=1