差分

移動先: 案内検索

SIP-Fail2ban

5,641 バイト除去, 2018年9月24日 (月) 13:10
ステータス確認
:http://www.fail2ban.org/
:http://sourceforge.net/projects/fail2ban/
==動作条件==pythonとiptablesが必要。yum install python iptablesなどで入れておいて下さい。==インストール==まずSFからfail2banをダウンロードし、展開します。 tar jxvf fail2ban-0.8.4.tar.bz2展開したディレクトリでインストールを実行します。 cd fail2ban-0.8.4 python ./setup.py installスタートアップ・スクリプトをコピーしておきます(CentOSなどRedHat系の場合の例)。 cp files/redhat-initd /etc/init.d/fail2baniptablesおよびpythonを必要とします。最新のFail2banではAsteriskにも対応しています。
==設定CentOS==CentOSではeaplからyumでインストールすることが可能です。 yum install -y epel-release yum --enablerepo===Asteriskのログフォーマットを変更する===epel -y install fail2banFail2banはそのままではAsteriskのログの日付を認識できないため、Asteriskのログフォーマットを変更します。yumでインストールした最新のFail2BanはAsteriskのログフォーマットを変更し、ローカル設定ファイルを作成するだけで使用することができます。<brBR>/etc/asterisk/loggerまずAsteriskのlogger.confを編集し、日付のフォーマット変更を行います。<br>confを修正し [general]セクションにある ; Customize the display of debug message time stamps ; this example is the ISO 8601 date format (yyyy-mm-dd HH:MM:SS) ; see strftime(3) Linux manual for format specifiers
dateformat=%F %T
のコメントを外すか、もしこのエントリがなければ記述します。設定を変更したら、Asteriskを再起動するか、loggerモジュールのリロードを行って、変更を有効にします。これによりAsteriskのログの日付形式が以下のように変わりますので、確認してください。 [2010-12-30 09:25:25] NOTICE[17537] chan_sip.c:.....===Asterisk用の定義ファイルを作る===dateformatの箇所のコメント(;)を外して有効にし、Asteriskを再起動します。<br>/etc/fail2ban/filterに以下の内容のjail.d ディレクトリに asterisk.conf という名前で以下のようなファイルを作ります。ここで指定したメッセージがBAN基準として使われるメッセージとなります。<br>localというファイルを作成します。ファイルがある場合には修正します。<br> [DEFAULT]Asterisk 1.8系の場合 ignoreip = # Fail2Ban configuration filebackend = polling #bantime = 3600 #; 1hour # $Revision: 250 $maxretry= 5 #usedns = no
[INCLUDES] # Read common prefixes. If any customizations available -- read them from # common.local #before = common.conf [Definition] #_daemon = asterisk # Option: failregex # Notes.: regex to match the password failures messages in the logfile. The # host must be matched by a group named "host". The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>\S+) # Values: TEXT # failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Not a local domain # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex =Asterisk 1.6とそれ以前の場合 # Fail2Ban configuration file # # # $Revision: 250 $ # [INCLUDES] # Read common prefixes. If any customizations available -- read them from # common.local #before = common.conf [Definition] #_daemon = asterisk # Option: failregex # Notes.: regex to match the password failures messages in the logfile. The # host must be matched by a group named "host". The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>\S+) # Values: TEXT # failregex = Registration from '.*' failed for '<HOST>' - Wrong password Registration from '.*' failed for '<HOST>' - No matching peer found Registration from '.*' failed for '<HOST>' - Username/auth name mismatch Registration from '.*' failed for '<HOST>' - Device does not match ACL Registration from '.*' failed for '<HOST>' - Peer is not supposed to register Registration from '.*' failed for '<HOST>' - Not a local domain # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex enabled =trueAsterisk 1.8とそれ以前ではログのホスト部分にポート番号を含む、含まないの違いがあるためfailregexの記述を変える必要がありますので注意してください。この部分に合致するメッセージが、ログファイルに現れたならばBAN基準になりますので注意して記述します。これ意外にも、引っかけたいメッセージがある場合にはそれも記述するとよいでしょう。<br>fail2banを起動すると監視が始まります。
===BANのアクションを作成する===
ここではUDPの5060ポート、つまりSIPだけをBAN対象としたいためアクションをSIP用に作成します。 /etc/fail2ban/action.d で以下のようにしてアクションを作成します。<br>
まず
cp iptables-allports.conf iptables-sip.conf
を行って、全ポート用のアクションをコピーします。次に iptables-sip.conf を編集し、以下のようにBANとUNBANのエントリを修正します。
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -p udp --dport 5060 -j DROP
# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = iptables -D fail2ban-<name> -s <ip> -p udp --dport 5060 -j DROP
-p udp と --dport 5060 を actionban と actionunban に追記します。
===fail2banの設定ファイルを修正起動の確認===/etc/fail2ban にある jailiptables -Lでiptablesの状態を確認するとfail2banでbanされたIPアドレス等が確認できます。 Chain f2b-asterisk-tcp (1 references) target prot opt source destination REJECT all -- 46.17.42.conf ファイルの最後に以下を追加します。180 anywhere reject-with icmp-port-unreachable [asteriskRETURN all --iptables] anywhere anywhere
enabled = true filter = asterisk action = iptablesChain f2b-sip[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.net] logpath = /var/log/asterisk/messages maxretry = 5 findtime = 600 bantime = 604800*actionBAN処理のアクションを定義します。この例ではiptables-sipを実行します。その後、sendmail-whois で BANしたIPアドレスのwhois情報を dest= で指定された宛先に送ります。このとき使用されるメールのFrom:はfail2ban@exampleになりますので、適切なものに書き換えます。<br>アクションの所で iptables-allports を指定するとSIPだけでなく、すべてのポートからの接続を蹴るように iptables に設定されます。『怪しい攻撃元』をブロックするという意味では、こちらのアクションの方がより安全と言えます。*logpathAsteriskのログファイルへのパスを記述します。*maxretry何回以上失敗したらBANするかの指定です。*findtimeこの時間内にmaxretryで指定した回数以上失敗するとBANします。上の例では600秒(10分)の間に、5回以上の失敗があった場合にはBANされます。*bantimeここで指定された期間がBAN期間になります。指定は秒数です。上の例では 60x60x24x7=604800、つまり1週間になります。 ==fail2banを起動する== /etc/init.d/fail2ban start起動したら期待の動作をするかどうかを、よく確認してください。試しに故意に間違えたパスワードで5回以上ログインをしてみるなどです。<br>起動に問題がなければ、fail2banが自動起動されるように登録しておけば良いでしょう。 chkconfig --add fail2ban===起動の確認===iptables -L -v で確認すると 61638 8222K fail2ban-ASTERISK all -- any any anywhere anywhere Chain fail2ban-ASTERISK udp (1 references) pkts bytes target prot opt in out source destination 61627 8216K RETURN REJECT all -- any any 46.17.42.180 anywhere anywhereのようなエントリがあるはずです。<br>BANされるとメールが送られ reject-with icmp-port-unreachable 11 6424 DROP udp RETURN all -- any any xxx.xxx.xxx.xx anywhere udp dpt:5060のようなDROPのエントリが追加されているはずです。 anywhereデフォルトではban時間は1時間です。
==INVITEによるBrute force攻撃への対策==
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stri ngifyast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stri ngifyast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stri ngifyast_sockaddr_stringify(addr));
transmit_response_reliable(p, "403 Forbidden", req);
p->invitestate = INV_COMPLETED;
} else if (auth_result < 0) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(ad draddr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
if (res != AUTH_SUCCESSFUL) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s) for SUBSCRIBE\n", sip_get_header(req, "From"), ast _sockaddr_stringifyast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
フィルタ追加後、fail2banを再起動し設定完了です。
 
==securityログの設定==
/etc/asterisk/logger.confに
[logfiles]
security => security
を追加(コメント解除)して、/var/log/asterisk/securityにできるログをfail2banに監視させる方法もあります。
 
==ステータス確認==
fail2ban-client コマンドで問い合わせるのがいいです。
# コマンド一覧
fail2ban-client
# 有効なjail一覧
fail2ban-client status
# jail名"asterisk"のステータス
fail2ban-client status asterisk
# 手動でban/unban
fail2ban-client set asterisk banip 11.22.33.44
fail2ban-client set asterisk unbanip 11.22.33.44
banされてることになっていても、actionが正しく書けていないと実際にはfirewalldやiptablesなどに反映されず、攻撃されっぱなしもあり得るので、挙動確認が大事です。<br>
fail2ban-server コマンドは直接叩いてはいけないようです。<br>
または、ログファイル /var/log/fail2ban.log を見てもいいです。
 
[[Category:セキュリティ]]
48
回編集

案内メニュー

VoIp-Info.jp