Cur: 2014-10-05 (Sun) 23:01:39 maruo source
Line 1: Line 1:
 +*セキュリティを強化するために [#m2fdaf49]
 +まずは、うちの方針としては、外部に公開するSIPレジストリのポートは、SIP-TLSの暗号化ポートに絞ってます。RTPもSRTPにして、通信パケットを暗号化するよう心がけております。
 +が…ブルートフォースアタックや、パスワードリスト攻撃等で、アカウントが乗っ取られてしまった場合は、通話されてしまいますので、お金がかかってしまいます。これは痛い…
 +なもんで、SIPレジストリに簡単に成功させないように、ツールを設定します。
 +
 +*Fail2ban [#w579a466]
 +Fail2banは、ログを監視し、ある特定のキーワードにひっかかるような事象があった場合、攻撃してきたIPアドレスに対し、特定の防御をしてくれます。
 +
 +さて、どー言うことかというと。
 +
 +Asteriskのログを調べて、ログインに失敗したようなログが出た場合、IPフィルタでそのアドレスを一定時間遮断してくれます。これは効果的な防御ですね~♪
 +
 +なわけで設定してみましょ。
 +
 +**インストール [#h100a9ea]
 +Fail2banはGentooPortageにありますので
 +
 + # emerge fail2ban
 +
 +でインストールできます。自動起動は
 +
 + # rc-update add fail2ban default
 +
 +ですね。
 +
 +**設定 [#m48bcdbe]
 +インストール段階で、結構いろんな認証系の設定が入っております。どのSyslogに何のログが出るかを調べておく必要はありますが…Asteriskの場合はいじる必要なかったっす。
 +
 +んで、/etc/fail2ban/jail.confってのをみると、いろいろと設定があり、デフォルトでは停止状態になっております。私は、asterisk-tcpってルールの中の
 + enabled = true
 +に変更しております。これで、SIP認証に失敗した場合、TCPのポート5060、5061を自動的に遮断してくれます。いやー、これは安心!
 +
 +さて…これを応用すると、HTTP/IMAP/SMTPの認証に失敗した場合、そのIPを遮断するようなルールも作れます。必要に応じて強化しようと思いまーす。
  

  • Backup diff of Gentoo Linuxな生活/セキュリティを強化する(No. All)
    • Cur: 2014-10-05 (Sun) 23:01:39 maruo

Front page   Diff Backup Copy Rename ReloadPrint View   New Page Page list Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom) Powered by xpWiki
Counter: 1824, today: 1, yesterday: 1
ページ内検索

ログイン

ユーザー名:


パスワード:





パスワード紛失

メインメニュー

サブメニュー
自宅鯖計画

Gentoo Linuxな生活

玄箱HGにGentoo格闘記

航空ショーへ行こう

モータースポーツな世界

奥深き写真の世界への誘い

我思う ゆえに我あり



携帯用QRコード