差分

SIP-Fail2ban

10,546 バイト追加, 2020年8月7日 (金) 19:40

→‎CentOS 8

IAXでのFail2banは'''[[IAX-Fail2ban]]'''を参照してください。

==fail2ban==

ログファイルとiptablesを利用したファイアウォールの一種。Brute Forceアタックの対策に使いやすい。

:http://www.fail2ban.org/

:http://sourceforge.net/projects/fail2ban/

~~==動作条件==~~iptablesおよびpythonを必要とします。最新のFail2banではAsteriskにも対応しています。~~pythonとiptablesが必要。yum install python iptablesなどで入れておいて下さい。~~==~~インストール~~CentOS==~~まずSFからfail2banをダウンロードし、展開します。~~CentOSではepelからyumでインストールすることが可能です。 ~~tar jxvf fail2ban~~yum install -y epel-~~0.8.4.tar.bz2展開したディレクトリでインストールを実行します。~~release ~~cd fail2ban~~yum --~~0.8.4~~ ~~python ./setup.pyスタートアップ・スクリプトをコピーしておきます(CentOSなどRedHat系の場合の例)。~~ ~~cp files/redhat~~enablerepo=epel -~~initd /etc/init.d/~~y install fail2ban~~==設定=====Asteriskのログフォーマットを変更する===Fail2banはそのままではAsteriskのログの日付を認識できないため、Asteriskのログフォーマットを変更します。~~yumでインストールした最新のFail2BanはAsteriskのログフォーマットを変更し、ローカル設定ファイルを作成するだけで使用することができます。<brBR>~~/etc/asterisk/logger~~まずAsteriskのlogger.~~confを編集し、日付のフォーマット変更を行います。 ~~confを修正し [general]~~セクションにある~~ ; Customize the display of debug message time stamps ; this example is the ISO 8601 date format (yyyy-mm-dd HH:MM:SS) ; see strftime(3) Linux manual for format specifiers

dateformat=%F %T

のコメントを外すか、もしこのエントリがなければ記述します。設定を変更したら、Asteriskを再起動するか、loggerモジュールのリロードを行って、変更を有効にします。これによりAsteriskのログの日付形式が以下のように変わりますので、確認してください。 ~~[2010-12-30 09:25:25] NOTICE[17537] chan_sip.c:.....===Asterisk用の定義ファイルを作る===~~dateformatの箇所のコメント(;)を外して有効にし、Asteriskを再起動します。 /etc/fail2ban/~~filter~~に以下の内容のjail.~~d ディレクトリに asterisk.conf という名前で以下のようなファイルを作ります。 ~~localというファイルを作成します。ファイルがある場合には修正します。~~ ~~ [DEFAULT]~~Asterisk 1.8系の場合~~ ignoreip = ~~# Fail2Ban configuration file~~backend = polling #bantime = 3600 #; 1hour ~~# $Revision: 250 $~~maxretry= 5 #usedns = no

[~~INCLUDES~~asterisk] enabled = truefail2banを起動すると監視が始まります。 ===起動の確認===iptables -Lでiptablesの状態を確認するとfail2banでbanされたIPアドレス等が確認できます。 Chain f2b-asterisk-tcp (1 references) target prot opt source destination REJECT all -- 46.17.42.180 anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere

~~# Read common prefixes~~Chain f2b-asterisk-udp (1 references) target prot opt source destination REJECT all -- 46.17.42. ~~If any customizations available~~ 180 anywhere reject-with icmp-port-unreachable RETURN all -- ~~read them from~~ anywhere anywhereデフォルトではban時間は1時間です。 ==INVITEによるBrute force攻撃への対策==REGISTERメッセージによる攻撃以外に、INVITEによるBrute force攻撃も確認されています。この攻撃時に出力されるログメッセージは以下のようなものになります。 ~~# common~~Failed to authenticate user "Anonymous" <sip:anonymous@192.168.~~local~~1.2>;tag=as105e401c このログメッセージの攻撃元IPアドレスが、FROMヘッダに記載されているIPアドレスになっています。このままでは、NAT配下のサーバーからの攻撃や、FROMヘッダが偽装された場合にfail2banで対応することができません。そこで、Asteriskへパッチを当てて、実際の攻撃元IPアドレスを表示するように修正します。 ===Asteriskへパッチを当てる=== 次のようなパッチをAsteriskに適用します。このパッチはAsterisk-1.4.40を対象にしていますが、1.6系、1.8系にも同様の修正で対応できます。 --- asterisk-1.4.40.orig/channels/chan_sip.c 2011-01-05 02:11:48.000000000 +0900 ~~#before~~ +++ asterisk-1.4.40/channels/chan_sip.c 2011-03-10 17:59:26.000000000 +0900 @@ -15456,7 +15456,7 @@ ast_log(LOG_NOTICE, "Sending fake auth rejection for user %s\n", get_header(req, "From")); transmit_fake_auth_response(p, SIP_INVITE, req, XMIT_RELIABLE); } else { - ast_log(LOG_NOTICE, "Failed to authenticate user %s\n", get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate user %s (%s:%d)\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr), ntohs(sin->sin_port)); transmit_response_reliable(p, "403 Forbidden", req); } p->invitestate = ~~common.conf~~INV_COMPLETED;

こちらは Asterisk-1.8.23.0 用です。Asterisk-11.5.1 でもほぼ同じコードが使えます。

--- asterisk-1.8.23.0/channels/chan_sip.c.orig 2013-08-02 11:41:03.233638321 +0900

+++ asterisk-1.8.23.0/channels/chan_sip.c 2013-12-06 14:51:08.698990909 +0900

@@ -22673,7 +22673,7 @@

return 0;

}

if (res < 0) { /* Something failed in authentication */

- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));

+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));

transmit_response(p, "403 Forbidden", req);

sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);

return 0;

@@ -23334,7 +23334,7 @@

goto request_invite_cleanup;

}

if (res < 0) { /* Something failed in authentication */

- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));

+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));

transmit_response_reliable(p, "403 Forbidden", req);

p->invitestate = INV_COMPLETED;

sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);

@@ -25164,7 +25164,7 @@

p->lastinvite = seqno;

return 0;

} else if (auth_result < 0) {

- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));

+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));

transmit_response(p, "403 Forbidden", req);

sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);

ast_string_field_set(p, theirtag, NULL);

@@ -25384,7 +25384,7 @@

if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */

return 0;

if (res != AUTH_SUCCESSFUL) {

- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));

+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));

transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed"); Asterisk 11.23.1用パッチです。 ~~[Definition]~~--- channels/chan_sip.c.orig 2016-09-09 01:28:35.000000000 +0900 +++ channels/chan_sip.c 2016-10-28 23:26:38.985774935 +0900 @@ -18751,7 +18751,7 @@ static void receive_message(struct sip_p return; } if (res < 0) { /* Something failed in authentication */ - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); return; @@ -24963,7 +24963,7 @@ static int handle_request_options(struct return 0; } if (res < 0) { /* Something failed in authentication */ - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); return 0; @@ -25798,7 +25798,7 @@ static int handle_request_invite(struct goto request_invite_cleanup; } if (res < 0) { /* Something failed in authentication */ - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response_reliable(p, "403 Forbidden", req); p->invitestate = INV_COMPLETED; sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); @@ -27788,7 +27788,7 @@ static int handle_request_publish(struct p->lastinvite = seqno; return 0; } else if (auth_result < 0) { - ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req); sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT); ast_string_field_set(p, theirtag, NULL); @@ -28003,7 +28003,7 @@ static int handle_request_subscribe(stru if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */ return 0; if (res != AUTH_SUCCESSFUL) { - ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE\n", sip_get_header(req, "From")); + ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s) for SUBSCRIBE\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr)); transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed"); パッチを当てて、Asteriskをコンパイルし直し、再起動します。すると、先ほどの攻撃時のログは以下のように出力されるようになります。 ~~#_daemon~~ Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c (123.45.67.89:5060) ログの(　)内に攻撃元の実IPアドレスが表示されるようになり、これを元にfail2banで攻撃を検知することができます。 ===fail2banへ設定を追加=== 修正したログに合わせたフィルタ設定をfail2banに追加します。 /etc/fail2ban/filter.d/asterisk.conf の failregex の項目に以下を追加します。 NOTICE.* .*: Failed to authenticate user .* $<HOST>:.*$ フィルタ追加後、fail2banを再起動し設定完了です。 ==securityログの設定==/etc/asterisk/logger.confに [logfiles] security = > securityを追加（コメント解除）して、/var/log/asterisk/securityにできるログをfail2banに監視させる方法もあります。 ==ステータス確認==fail2ban-client コマンドで問い合わせるのがいいです。 # コマンド一覧 fail2ban-client

# ~~Option: failregex~~ ~~# Notes.: regex to match the password failures messages in the logfile. The~~ ~~# host must be matched by a group named "host". The tag "<HOST>" can~~ ~~# be used for standard IP/hostname matching and is only an alias for~~ ~~# (?:::f{4,6}:)?(?P<host>\S+)~~ ~~# Values: TEXT~~有効なjail一覧 #fail2ban-client status

~~failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password~~ ~~Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found~~ ~~Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch~~# jail名"asterisk"のステータス ~~Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL~~ ~~Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register~~ ~~Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?'~~ fail2ban- ~~Not a local domain~~client status asterisk

# ~~Option:~~ 手動でban/unban fail2ban-client set asterisk banip 11.22.33.44 fail2ban-client set asterisk unbanip 11.22.33.44banされてることになっていても、actionが正しく書けていないと実際にはfirewalldやiptablesなどに反映されず、攻撃されっぱなしもあり得るので、挙動確認が大事です。 fail2ban-server コマンドは直接叩いてはいけないようです。 または、ログファイル /var/log/fail2ban.log を見てもいいです。 == CentOS 8 == Asterisk16, CentOS 8でも同様にepelからdnfでインストールすることが可能です。 CentOS 8では、iptablesではなく、nftables及びfirewalldが使用されていますが、問題なく対応しています。 ~~ignoreregex~~dnf install -y epel-release dnf --enablerepo=epel -y install fail2ban fail2ban-systemd Asteriskのlogger.confの変更、/etc/fail2ban/jail.localの作成は上記、[[# ~~Notes~~CentOS|以前のCentOS]]と同様にしてください。 しかし、2020年8月7日時点では、ここでfail2banを起動しても 2020-08-07 16:39:54,981 fail2ban.transmitter [58697]: WARNING Command ['server-stream', [['set', 'syslogsocket', 'auto'] ~~regex to ignore~~(略) Received ValueError('Action firewallcmd-rich-rules already exists',) 2020-08-07 16:39:54,981 fail2ban [58697]: ERROR NOK: ('Action firewallcmd-rich-rules already exists',) というエラーが出て動きません。さしあたりの回避策として/etc/fail2ban/jail. ~~If this regex matches, the line is ignored~~d/00-firewalld.confを次のように変更します。 (略) ~~# Values:~~ [DEFAULT] banaction = firewallcmd-ipset ~~TEXT~~banaction_allports = firewallcmd-ipset #banaction = firewallcmd-rich-rules[actiontype=<multiport>] ~~ignoreregex~~ #banaction_allports =firewallcmd-rich-rules[actiontype=<allports>] これでfail2banを起動すると監視が始まります。 systemctl enable fail2ban systemctl start fail2ban 稼働状態の確認としては、上記fail2ban-clientコマンドまたは、次のコマンドが使用できます。 ipset --list Asterisk 16及び[[Asterisk pjsip|pjsip]]を使用していると、Asteriskにパッチを当てる等しなくても[[#INVITEによるBrute force攻撃への対策|INVITEによるBrute force攻撃]]も防御できるようです。

← 古い編集

Takatyan

ビューロクラット、管理者

37

回編集

匿名

検索

案内

案内

サイトコンテンツ

スペシャル

ユーザ登録

ウィキツール

ウィキツール

差分

名前空間

ページアクション

SIP-Fail2ban

匿名

検索

案内

ウィキツール

ページツール

差分

SIP-Fail2ban