// Stai leggendo ...

Asterisk

Come creare un filtro fail2ban per mettere in sicurezza asterisk

Phishing, vishing, furti, truffe … purtroppo nemmeno asterisk ne è esente. Cerchiamo di mettere “in sicurezza” il nostro centralino voip adottando alcuni piccoli accorgimenti; grazie ad un filtro fail2ban blocchiamo i tentativi di accesso non autorizzato alla nostra macchina. Certo non sarà la soluzione a tutti i problemi di sicurezza della nostra installazione, ma almeno è un inizio !


Nemmeno il voip è esente da frodi, furti e tentativi di phising (tanto che è stato addirittura coniato un nuovo neologismo: vishing); attività illecite il cui dilagare è in qualche modo “agevolato” dallo spopolare di numerose interfacce di configurazione ed automatizzazione di asterisk, che se da un lato rendono questo potente software molto più “accessibile”, dall’altro standardizzano le installazioni semplificando notevolmente la vita al malintenzionato di turno.

Inutile “girarci troppo intorno”: purtroppo progetti come freepbx, asteriskgui, starfish hanno fatto si che molte persone si potessero improvvisare installatori o preferissero affidarsi a “personaggi” dalla dubbia professionalità, spesso del tutto incapaci di far fronte alle numerose variabili ed ai problemi che l’utilizzo di un centralino voip può comportare in ambito soho e/o aziendale.
La morale della “favola” è purtroppo quantomai scontata, e comincia anche ad avere un minimo risalto nelle cronache quotidiane: in molti contesti, dai phone center alle imprese, tutti gli aspetti che ruotano intorno alla tematica della sicurezza sono colpevolmente trascurati con conseguenze in alcuni casi anche traumatiche (si pensi ai casi di furto di traffico telefonico o di identità).

Propongo quindi un piccolo accorgimento, che ovviamente può essere considerato solamente di spunto e certamente non completa questa vasta e complessa tematica, per mettere in sicurezza il vostro centralino grazie alla utilizzo di Fail2ban.

Fail2ban è un progetto nato per bloccare i tentativi di connessione SSH attraverso tecniche di brute forcing (normalmente basati su dizionari). Con il passare degli anni gli sviluppatori hanno aggiunto la possibilità di verificare i tentativi di accesso ad altri servizi che vengono spesso attaccati con lo stesso procedimento. Il funzionamento é semplice ed efficace allo stesso tempo: analizzando i files di logs si riesce a risalire ai tentavi di brute force bloccandoli per un periodo predeterminato.

Verificando il chan_sip del mio centralino asterisk (versione 1.4) ho notato che tutti i messaggi di errore sono caratterizzati dalla stringa:

Registration from ‘%s’ failed for ‘%s’ – %s

Ho cosi pensato di creare il seguente filtro:

/etc/fail2ban/filter.d/asterisk.conf

in cui inserire quanto segue:

[Definition]
failregex = NOTICE.* .*: Registration from '.*' failed for '' - .*
                NOTICE.* .*: Failed to authenticate user .*@.*
ignoreregex =

Non resta che modificare anche

/etc/fail2ban/jail.conf

inserendo:

[asterisk-iptables]
enabled  = true
filter      = asterisk
action    = iptables[name=ASTERISK, port=5060, protocol=udp]
                sendmail-whois[name=ASTERISK, dest=ILTUOEMAIL, sender   = fail2ban@ILTUODOMINIO]
logpath  = /var/log/asterisk/full
bantime = 3600
maxretry = 5

In questo modo il malintenzionato verrà impossibilitato ad effettuare nuovi tentativi per un ora.
Ovviamente dovremo anche accertarci di non aver limitato in alcun modo la produzione di files di log da parte del centralino:

/etc/asterisk/logger.conf

devono essere decommentate le seguenti voci:

[general]
dateformat=%F %T
full => notice,warning,error

Fatto questo non resta che riavviare il servizio:

failban-client reload

Commenti

commenti


I commenti all'articolo

Non ci sono ancora commenti for “Come creare un filtro fail2ban per mettere in sicurezza asterisk”

Lascia un commento

Devi essere autenticato per lasciare un commento.