В один прекрасный день, прилетела ко мне весточка от SIP-провайдера. И говорила она интересные вещи про безопасность и участившиеся случаи взлома. Я конечно все честно прочитал, посмеялся, да и удалил. А потом, неделю спустя, пришел ко мне счет за переговоры на много денег с кучей звонков в Латвию. Тут то и осознал я всю суть проблемы и, после получения по шапке от начальства, взялся за защиту нашего asterisk сервера от внешних воздействий. Начнем с волшебной утилиты fail2ban.

fail2ban представляет из себя анализатор логов, который при определенном повторении той или иной строки, запускает нужное приложение. Т.е. в случае с выведенным в интернет asterisk – анализируем логи на предмет наличия записей вида Registration from ’111.111.111.111′ failed for ’222.222.222.222′ – Wrong password и, в случае если такое повторяется несколько раз, блокируем данного товарища в фаэрволе по IP. Простая и действенная схема, жутко помогающая от перебора паролей.
Итак, начнем:

/etc/rc.conf:
настраиваем fail2ban:
/usr/local/etc/fail2ban/jail.conf
Здесь:
ignoreip – данные адреса не будут учитываться при анализе логов asterisk
support@company.ru – на данную почту будут приходить оповещения о блокировке
logpath – путь к логу, в котором появляются сообщения о подборе паролей
bantime – на сколько секунд блокируется злоумышленник
maxretry – макс. число попыток ввода пароля, после которого происходит блокировка
В файле экшна для ipfw:
Правим /usr/local/etc/fail2ban/action.d/bsd-ipfw.conf