Sophony Memo informatique

4juil/11Off

Asterisk & fail2ban sur Debian Squeeze

Ci-dessous, la procédure pour sécuriser un serveur Astérisk sous Debian avec Fail2ban.

C’est essentiellement pour écarter les petits malins qui font de la brute force sur les comptes SIP.

Installer fail2ban

apt-get install fail2ban

Configurer fail2ban

Dans le fichier /etc/fail2ban/jail.conf, ajouter les lignes suivantes :

#
# Asterisk
#

[asterisk-iptables]

enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=mon_mail@domaine.com, sender=fail2ban@domaine.com]
logpath  = /var/log/asterisk/messages
maxretry = 3
bantime = 259200

Créer le fichier /etc/fail2ban/filter.d/asterisk.conf, puis y ajouter les lignes suivantes :

# Fail2Ban configuration file
#
#

[Definition]

#_daemon = asterisk

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Dans /etc/asterisk/logger.conf, décommenter le ligne suivante:

dateformat=%F %T

Redémarrer asterisk et fail2ban :

/etc/init.d/asterisk restart

/etc/init.d/fail2ban restart

Vérifier l'installation

iptables -L -v

Il faut voir quelque chose du type :

Chain fail2ban-ASTERISK (1 references)
pkts bytes target     prot opt in     out     source               destination
4   264 RETURN     all  --  any    any     anywhere             anywhere

Remplis sous: Asterisk Commentaires
Commentaires (0) Trackbacks (0)

Désolé, le formulaire de commentaire est fermé pour le moment

Aucun trackbacks pour l'instant