Список форумов Asterisk Forum Asterisk Forum
The Asterisk Open Source PBX - Russian Community
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ПравилаПравила   ГруппыГруппы   ИзбранноеИзбранное    LinksСсылки   РегистрацияРегистрация 
 RSSRSS   ПрофильПрофиль   Войти и проверить личные сообщения   ВходВход 

О безопасности
На страницу Пред.  1, 2, 3  След.
 
Список форумов Asterisk Forum -> Asterisk IP PBX    вывод темы на печать
Предыдущая тема :: Следующая тема  
Автор Сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Ср Май 18, 2011 01:31    Заголовок сообщения:

http://fail2sql.sourceforge.net/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Cancer



Зарегистрирован:
16.10.2008
Сообщения: 13

Статус: Оффлайн 

СообщениеДобавлено: Сб Июн 04, 2011 20:08    Заголовок сообщения:

Семь простых шагов по укреплению SIP безопасности на Астериск

1. Не разрешайте SIP аутентификацию со ВСЕХ ИП адресов. Используйте опции “permit=” и “deny=” в sip.conf как в глобальной секции, так и в параметрах пиров. Разрешайте только ожидаемые диапазоны ИП адресов. Даже если принимаете входящие "отовсюду" (через контекст [default]) не забывайте об аутентификации!

2. Укажите “alwaysauthreject=yes” в глобальной секции файла sip.conf. Эта опция доступна давно (уже с версии 1.2?) но по дефолту она в “no”, что позволяет получить информацию о внутренних номерах даже при неудавшейся регистрации. Устанавливая этот паратметр в “yes” мы отправляем такой же "reject" для существующего внутреннего номера, как и в случае несуществующего. Это уменьшает возможности удалённых хакеров получить список номеров, по которым уже начинается атака по подбору паролей методом brute force.

3. Используйте СЛОЖНЫЕ пароли для всех SIP пиров и юзеров. Это возможно наиболее важный шаг, который вы можете предпринять. Не используйте последовательно два одинаковых слова,разделите их хоть "1". Если бы вы видели инструменты по подбору паролей вы бы поняли смысл этой казалось бы простой рекомендации, так как такое задваивание является ничтожной помехой для современных процессоров. Используйте символы, цифры и буквы обеих регистров длиной не менее 12 знаков.

4. Блокируйте доступ к порту AMI. Используйте “permit=” и “deny=” параметры в manager.conf чтобы сократить число возможных подключений только с доверенных хостов. Используйте сложные пароли минимум из 12-ти знаков в различных сочетаниях символов, цифр и букв разного регистра.

5. Разрешайте только один или два одновременных вызова с каждого внутреннего SIP абонента, если возможно. В любом случае любые ограничения против мошенников являются мудрым шагом. Не допускайте разрешённым пользователям, которые имеют доступ к настройкам, хранить пароли в обозреваемом месте (например записаные снизу на телефоне).

6. Делайте SIP usernames отличными от внутренних номеров. Обычно внутренний номер “1234″ соответствует SIP пиру “1234″, который имеет аналогично SIP user “1234″, это лёгкая цель для хакеров в попытке угадать аутентифицированые SIP names. Используйте МАС адреса устройств или другие комбинации известных фраз + MD5 хэширование внутреннего номера (например исполните команду “md5 -s ThePassword5000″)

7. Убедитесь, что контекст [default] достаточно рационален. Не допускайте неаутентифицированным входящим соединениям попадать в любые контексты, откуда исполняются платные вызовы. Ограничивайте количество активных звонков в дефолтном контексте (используя функцию “GROUP” в качестве счётчика). Запретите неаутентифицированные звонки (если вы действительно их не хотите) установкой параметра “allowguest=no” в секции [general] файла sip.conf.


Взял с http://asterisk.ru/news/archive
http://asterisk.ru/news/142


Последний раз редактировалось: Cancer (Вт Фев 07, 2012 20:58)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
denklu



Зарегистрирован:
10.08.2011
Сообщения: 23

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 01, 2011 17:47    Заголовок сообщения:

добавлю от себя: т.к. абсолютной защиты не существует
Самое первое что нужно сделать, это договориться с оператором:
1. о полном запрете ненужных вам направлений, типа Куба, Африка.
2. работать исключительно по предоплате или установить лимит на стоимость исходящих звонков, тогда ваши максимальные потери будут равны остатку на счете или кредитному лимиту. Это конечно не всегда удобно, но зато гарантированно убережет вас от необходимости продавать машину или квартиру.
а потом уже можете разбираться с разными программными защитами.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Вт Мар 06, 2012 22:29    Заголовок сообщения:

У кого астериск-1.8 (возможно и 1.10 будет работать) -

Код:
cd /etc/fail2ban/filter.d
mv asterisk.conf asterisk14.conf
wget http://pbxinaflash.net/source/fail2ban/asterisk18.conf
mv asterisk18.conf asterisk.conf
/etc/init.d/fail2ban restart



http://llamarada-cinetica.heroku.com/blo ... l2ban-woes

Added after 55 minutes:

http://www.regular-expressions.info/examples.html
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
alex286



Зарегистрирован:
14.06.2009
Сообщения: 71
Откуда: Москва

Статус: Оффлайн 

СообщениеДобавлено: Вс Июн 17, 2012 08:05    Заголовок сообщения:

Спасибо!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Cybermind



Зарегистрирован:
06.11.2011
Сообщения: 21

Статус: Оффлайн 

СообщениеДобавлено: Пт Авг 10, 2012 06:28    Заголовок сообщения:

Asterisk 1.8.15.0. Недавно начали надоедать господа из оккупированных палестинских территорий. В логах можно заметить такое:
Код:

Sending fake auth rejection for device 5550000<sip:5550000@ip.addr.aste.risk>;tag=f140a208

Естественно правило fail2ban сработает только блокировкой внешнего IP Asterisk. Здесь на форуме предлагали лекарство правкой исходника, но оно не работает на 1.8.
Открыв исходник chan_sip.c, можно увидеть в нескольких местах строчки:
Код:

ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n", get_header(req, "From"));

Поиском по форуму digium, нашлось решение. Заменил в исходнике вышеуказанные строчки на вот такую конструкцию:
Код:

ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));

Теперь в логах детектится IP адрес:
Код:

Sending fake auth rejection for device 5550000<sip:5550000@ip.addr.aste.risk>;tag=b80e9671 (83.244.6.160:10045)

Правило в /etc/fail2ban/filter.d/asterisk.conf:
Код:
NOTICE.* .*: Sending fake auth rejection for device.* \(<HOST>:.*\)

Теперь палестинцы успешно отправляются в бан.

Update: 23.12.2014
В 1.8.21.0-1.8.32.1 в исходниках небольшие изменения. В 4-х местах:
Код:
ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));

Меняем на:
Код:
ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));

Естественно правило в /etc/fail2ban/filter.d/asterisk.conf:
Код:
NOTICE.* .*: Failed to authenticate device.* \(<HOST>:.*\)


Последний раз редактировалось: Cybermind (Вт Дек 23, 2014 08:09)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Any0ne



Зарегистрирован:
31.01.2013
Сообщения: 2

Статус: Оффлайн 

СообщениеДобавлено: Чт Янв 31, 2013 09:52    Заголовок сообщения: xtables-addons

А почему бы не использовать блокировку по странам?


1) Ставим из репозитория xtables-addons.
2) Скачиваем базу по странам GEOIP:
./xt_geoip_dl (в зависимости от дистрибутива файл может быть в разных папках).
3) Конвертируем базу для xtables-geoip:
Узнаём откуда она будет брать правила:
Код:
iptables -A INPUT ! -i lo -m geoip ! --source-country RU,UA -j DROP
Could not open /usr/share/xt_geoip/LE/RU.iv4: No such file or directory

/usr/share/xt_geoip/LE/ - место где ищет базу модуль geoip iptables. Запоминаем это место(в зависимости от дистрибутива может быть другим).
Создаём саму базу по требуемому пути.
Код:
 /usr/share/doc/xtables-addons-1.46/geoip/xt_geoip_build -D  /usr/share/xt_geoip/LE/

4) Добавляем страны в черный/белый список используя синтаксис iptables(параметры -m geoip --source-country.код_страны)
К примеру дропать весь китай:
Код:
iptables -A INPUT  -m geoip  --source-country CH -j DROP



В fedora надо выполнить
Код:
chmod +x /usr/share/doc/xtables-addons-1.46/geoip/xt_geoip_dl
chmod +x /usr/share/doc/xtables-addons-1.46/geoip/xt_geoip_build

1.46 версия, она может отличаться.


Так же как вариант для защиты TCP порта(вдруг) использовать TARPIT, а не DROP.
Можно так же настроить ipset со списком сетей/адресов(к примеру своего города) как белый список.

Ещё можно попробовать сделать так:
recent,hashlimit
Так дропается самим iptables не доходя до астериска, то есть ресурсы на проверку регистрации тратится не будут + не надо парсить лог, да и скорость реакции естественно выше чем в варианте fail2ban
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Пт Июн 07, 2013 20:12    Заголовок сообщения:

Первый пост по ентой теме (Aster 1.6) я дал - Добавлено: Вт Июл 03, 2012 09:39 - http://asteriskforum.ru/viewtopic.php?t=9372&start=0

Последний раз редактировалось: andrey1969 (Пн Сен 16, 2013 17:20)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Пт Июн 07, 2013 22:35    Заголовок сообщения:

добавить в правила файрвола еще одну строчку - открыть порт для vpn. из китая всеравно никакого нативного воипа не получится а вот vpn клиент в смартфоне пригодится в любом месте и всегда. раз настроил и забыл про наты и файрволы навсегда.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Сб Июн 08, 2013 17:23    Заголовок сообщения:

Походу секурити в астере (доработано в F2B) более глобально для отлова хакеров по IP ( Работает астер 11 и 12) ...

Последний раз редактировалось: andrey1969 (Пн Сен 16, 2013 17:19)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
avryabov



Зарегистрирован:
11.08.2013
Сообщения: 2

Статус: Оффлайн 

СообщениеДобавлено: Вс Авг 11, 2013 14:23    Заголовок сообщения:

собрал патч для исправления логов для fail2ban для астериск 11.5.0
юзать так:
Код:

root@star:/usr/src/asterisk-11.5.0# patch -p0 < ../sip_fail2ban.patch

раньше логи были такие:
Код:

[Aug 11 14:18:27] NOTICE[2296][C-0000009d] chan_sip.c: Failed to authenticate device 401<sip:401@81.13.33.92>;tag=b832c932
[Aug 11 14:18:28] NOTICE[2296][C-0000009e] chan_sip.c: Failed to authenticate device 401<sip:401@81.13.33.92>;tag=a32efdbc
[Aug 11 14:18:30] NOTICE[2296][C-0000009f] chan_sip.c: Failed to authenticate device 401<sip:401@81.13.33.92>;tag=edd8e5f9

теперь такие:
Код:

[Aug 11 15:40:03] NOTICE[13245][C-0000000e] chan_sip.c: Failed to authenticate device 11<sip:11@81.13.33.92>;tag=f5bb5a21 (176.58.75.70:19498)
[Aug 11 15:40:04] NOTICE[13245][C-0000000f] chan_sip.c: Failed to authenticate device 11<sip:11@81.13.33.92>;tag=a46203d8 (176.58.75.70:19498)
[Aug 11 15:40:06] NOTICE[13245][C-00000010] chan_sip.c: Failed to authenticate device 11<sip:11@81.13.33.92>;tag=fbafc92e (176.58.75.70:19498)


sip_fail2ban.patch
Код:

--- channels/chan_sip.c.org   2013-05-14 01:05:38.000000000 +0400
+++ channels/chan_sip.c   2013-08-11 14:31:14.111704400 +0400
@@ -18520,7 +18520,7 @@
          return;
       }
       if (res < 0) { /* Something failed in authentication */
-         ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+         ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
          transmit_response(p, "403 Forbidden", req);
          sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
          return;
@@ -24616,7 +24616,7 @@
          return 0;
       }
       if (res < 0) { /* Something failed in authentication */
-         ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+         ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
          transmit_response(p, "403 Forbidden", req);
          sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
          return 0;
@@ -25279,7 +25279,7 @@
          goto request_invite_cleanup;
       }
       if (res < 0) { /* Something failed in authentication */
-         ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+         ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
          transmit_response_reliable(p, "403 Forbidden", req);
          p->invitestate = INV_COMPLETED;
          sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -27325,7 +27325,7 @@
       p->lastinvite = seqno;
       return 0;
    } else if (auth_result < 0) {
-      ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+      ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
       transmit_response(p, "403 Forbidden", req);
       sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
       ast_string_field_set(p, theirtag, NULL);
@@ -27540,7 +27540,7 @@
       if (res == AUTH_CHALLENGE_SENT)   /* authpeer = NULL here */
          return 0;
       if (res != AUTH_SUCCESSFUL) {
-         ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE\n", sip_get_header(req, "From"));
+         ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
          transmit_response(p, "403 Forbidden", req);
 
          pvt_set_needdestroy(p, "authentication failed");

Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Пн Авг 12, 2013 00:04    Заголовок сообщения:

зачётно! но было бы еще лучше отправить этот патч разработчику f2b. ведь нужно всем по большому счету.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
avryabov



Зарегистрирован:
11.08.2013
Сообщения: 2

Статус: Оффлайн 

СообщениеДобавлено: Пн Авг 12, 2013 13:50    Заголовок сообщения:

ИМХО его надо тупо интегрировать в астериск. Но пинать их мне пока опыта не хватает - я только около пары месяцев с астериском работаю.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Сб Сен 07, 2013 10:26    Заголовок сообщения:

я ошибся, конечно в астериск. достаточно отправить в багтрак заявку, уверен народ поддержит бодро ибо необходим этот патчик потенциально всем.
ps: просьба не злоупотреблять цитированием без особой на то нужды, спасибо.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Ср Сен 11, 2013 14:07    Заголовок сообщения:

обновил под asterisk-11.5.1:

nano chan_sip.patch
Код:
--- channels/chan_sip.c   2013-08-27 12:25:11.000000000 -0700
+++ channels/chan_sip.c.new   2013-09-11 06:16:10.673613358 -0700
@@ -18520,7 +18520,7 @@
          return;
       }
       if (res < 0) { /* Something failed in authentication */
-         ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+         ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
          transmit_response(p, "403 Forbidden", req);
          sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
          return;
@@ -24616,7 +24616,7 @@
          return 0;
       }
       if (res < 0) { /* Something failed in authentication */
-         ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+         ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
          transmit_response(p, "403 Forbidden", req);
          sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
          return 0;
@@ -25279,7 +25279,7 @@
          goto request_invite_cleanup;
       }
       if (res < 0) { /* Something failed in authentication */
-         ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+         ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
          transmit_response_reliable(p, "403 Forbidden", req);
          p->invitestate = INV_COMPLETED;
          sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -27325,7 +27325,7 @@
       p->lastinvite = seqno;
       return 0;
    } else if (auth_result < 0) {
-      ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+      ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
       transmit_response(p, "403 Forbidden", req);
       sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
       ast_string_field_set(p, theirtag, NULL);
@@ -27540,7 +27540,7 @@
       if (res == AUTH_CHALLENGE_SENT)   /* authpeer = NULL here */
          return 0;
       if (res != AUTH_SUCCESSFUL) {
-         ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE\n", sip_get_header(req, "From"));
+         ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
          transmit_response(p, "403 Forbidden", req);
 
          pvt_set_needdestroy(p, "authentication failed");
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Чт Сен 12, 2013 21:22    Заголовок сообщения:

В Asterisk 12 внёс те же изменения что и в 11 -й версии всё работает ! Smile .
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Сб Сен 28, 2013 22:07    Заголовок сообщения:

MD5 asterisk encryption
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Вт Дек 31, 2013 17:36    Заголовок сообщения:

Потестил китай - работет круто тока через IAX2 - между серваками (GSM-GSM) . Проблема в том что пинг 430 -520 (19 хопов ) , постоянный IP Там стоит 150 грн. укр. в месяц ((( . dyn-dns - при смене IP плохо отрабатывает надо перезагружать роутер в китае .
Сейчас буду тестить Zoiper по IAX ((( .
в f2b надо добавить строчку - полная копия в конце написано - No matchig peer found$ === скопируйте эту строку ниже и удалите не нужные (:[0-9]+)? !!!!
в 1.6 версии точно .
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
siti



Зарегистрирован:
09.08.2009
Сообщения: 48

Статус: Оффлайн 

СообщениеДобавлено: Сб Янв 04, 2014 18:51    Заголовок сообщения:

Рабочий вариант fail2ban без правки исходников для Asterisk10+:
1. Включаем лог security
Добавить в logger_logfiles_custom.conf
Код:
security => security

убедится, что в logger.conf прописано
Код:
dateformat=%F %T

перезапускаем логгер:
#asterisk -rx "logger reload"

2. /etc/fail2ban/filter.d/asterisk.conf
Код:

# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf


[Definition]

#_daemon = asterisk

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P\S+)
# Values:  TEXT
#

failregex = SECURITY.* SecurityEvent=\"InvalidPassword\".*RemoteAddress=\"IPV4/UDP/<HOST>/
            SECURITY.* SecurityEvent=\"FailedACL\".*RemoteAddress=\"IPV4/UDP/<HOST>/
            SECURITY.* SecurityEvent=\"InvalidAccountID\".*RemoteAddress=\"IPV4/UDP/<HOST>/
            SECURITY.* SecurityEvent=\"ChallengeResponseFailed\".*RemoteAddress=\"IPV4/UDP/<HOST>/

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =


3.jail.conf
добавить в конец:
Код:
[asterisk-iptables]

enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@yourdomain.ru]
logpath  = /var/log/asterisk/security
maxretry = 3
findtime = 60000
bantime = 259200


У меня работает, при обновлении астериска не надо будет ничего патчить.


Последний раз редактировалось: siti (Вс Янв 05, 2014 06:33)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
awsswa



Зарегистрирован:
28.04.2012
Сообщения: 1642
Откуда: Russia, Пермь

Статус: Оффлайн 

СообщениеДобавлено: Вс Янв 05, 2014 05:22    Заголовок сообщения:

Я такого описания уже штук 100 под копирку видел.
Только не забывайте что кроме астера существует другие процессы в linux и один из них logrotate
который не знает не про какой файл security и через полгода он распухнет до пару гигов и перезапуск fail2ban будет веть машину на полчаса

правильный вариант:

security_log => security

[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@yourdomain.ru]
logpath = /var/log/asterisk/security_log
maxretry = 3
findtime = 60000
bantime = 259200

logrotate от астера по умолчанию правильно работает с файлами с окончанием *log
или надо брать уже обновленный вариант где уже прописаны файлы security или править самому.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
siti



Зарегистрирован:
09.08.2009
Сообщения: 48

Статус: Оффлайн 

СообщениеДобавлено: Вс Янв 05, 2014 06:33    Заголовок сообщения:

Цитата:
logrotate от астера по умолчанию правильно работает с файлами с окончанием *log

Интересно, а где это настраивается? Или где про это почитать?

Везде описан стандартный logrotate через файл /etc/logrotate.d/asterisk
и типовая его конфигурация будет обрабатывать все файлы в папке включая security
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Пн Фев 03, 2014 03:28    Заголовок сообщения:

ASTERISK
Security Hardening Guide v1.0


читается на одном дыхании
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Lonely_Ghost



Зарегистрирован:
15.01.2007
Сообщения: 223
Откуда: Украина, Киев

Статус: Оффлайн 

СообщениеДобавлено: Вс Фев 09, 2014 11:53    Заголовок сообщения:

Следующие пара строк заставит отвалиться 90% "кулхацкеров" из Китая, Мексики, Африки etc.

Запросы сканеров даже до астериска не дойдут, их на месте прибивает iptables.

Код:

......
-A INPUT -p udp -m udp --dport 5060 -j SIP-BORDER-CONTROLLER
......
-A SIP-BORDER-CONTROLLER -m string --string "friendly-scanner" --algo bm -j DROP
-A SIP-BORDER-CONTROLLER -m string --string "sip-cli" --algo bm -j DROP
......


Упс, Поднебесная, не подфартило Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Link



Зарегистрирован:
20.04.2007
Сообщения: 871
Откуда: Ukraine, Kyiv

Статус: Оффлайн 

СообщениеДобавлено: Пн Фев 17, 2014 20:39    Заголовок сообщения:

Здравствуйте!

В тестовом режиме решил использовать IDS систему OSSEC. Rules для asterisk есть и подгружаются при старте (идут по default). Проверял работу системы через sipvicious, результат 0.
Asterisk и OSSEC на одном сервере.

Соответственно вопрос, у кого есть рабочий пример ossec-server.conf и asterisk_rules.xml и active-response.

Заранее благодарен.

Настроил, использовал syslog в logger.conf и syslog.conf

Но, в alerts.log вижу попытки подбора, написано active-response на конкретный rule_id, но не срабатывает скрипт firewall-drop.sh.

Подскажите!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Ср Апр 09, 2014 12:38    Заголовок сообщения:

https://www.openssl.org/news/secadv_20140407.txt
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Список форумов Asterisk Forum -> Asterisk IP PBX На страницу Пред.  1, 2, 3  След. Ответить на тему
Страница 2 из 3

Добавить в Избранное

 
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
You cannot attach files in this forum
You cannot download files in this forum