Protenzione asterisk e ssh tramite fail2ban su Ubuntu

Protenzione asterisk e ssh tramite fail2ban su Ubuntu

Se vi capita di trovare nei log di asterisk messaggi tipo: Friendly Scanner from xxx.xxx.xxx.xxxx significa che probabilmente il server è preso di mira da SipVicious. Per evitare questi tipi di attacchi, si può ricorrere a fail2ban. Probabilmente lo conoscerete perchè è uno strumento che serve a bloccare gli attacchi brute-force su ssh. Installare fail2ban su ubuntu 14.04 Potete installare il programma direttamente dai repository ufficiali sudo apt-get install fail2ban   A questo punto bisogna creare il file che conterrà le regole eseguite da fail2ban sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local   Adesso si può editare il file: sudo nano /etc/fail2ban/jail.local Le configurazioni seguenti sono generiche, quindi non sono specifiche per asterisk. In questo articolo, tratterò come configurare fail2ban per ricevere email su ogni blocco: Nel file modificate le seguenti linee con i valori necessari per il vostro caso: destemail = root@localhost sendername = Fail2Ban mta = sendmail La seguente riga indica le informazioni che fail2ban immette nelle email che spedisce. Il valore di default è quello breve (action_), ma potete sostiuirlo con (action_mw) o (action_mwl) per avere maggiori informazioni: action = $(action_)s Configurare Fail2ban con asterisk innanzitutto modificate il file /etc/asterisk/logger.conf: cercate la riga messages =>  e sostituitela come segue: messages => security, notice,warning,error nella sezione [general] modificate la stringa del timestamp così: dateformat=%F %T poi riavviate il modulo logger di asterisk asterisk -rx "logger reload" A questo punto, aggiungete alla fine di  /etc/fail2ban/jail.local [asterisk-iptables] # if more than 4 attempts are made within 6 hours, ban for 24 hours enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail[name=ASTERISK, dest=you@yourmail.co.uk, sender=fail2ban@local.local] logpath = /var/log/asterisk/messages maxretry = 4 findtime = 21600 bantime = 86400 Sostituite il destinatario delle email di log dest=you@yourmail.co.uk con il vostro indirizzo   Ora basta ravviare fail2ban con sudo service fail2ban restart   Buon divertimento!