Як захистити Asterisk від підбору паролів
Вирішив я якось піднятиSIP-сервердля своїх потреб. Вихід у зовнішні мережі був не потрібен, я підняв цей сервіс тільки для своїх. Не встиг його підняти, як доблесні тайванські хакери дружно почали брутфорсити логіни та паролі на мій астериск. Причому робили це нахабно в багатопотоковому режимі, цифри підставляли методом наукового перебору:
Друга річ, яку слід зробити, це аналізувати логи астериску щодо наявності невірної аутентифікації. І у разі виявлення спроб підбору пароля відправляти підозрілі IP-адреси в бан.
Для Linux є відповідне рішення, пов'язане з установкою та налаштуваннямfail2ban, яка побудована на iptables. Мені ж це рішення не підійшло, тому що мій Астериск крутиться на хостингу з FreeBSD, а там використовується ipfw замість болю знайомого iptables. Шляхом довгих експериментів дійшов того, що не варто додавати всі ворожі айпишники в загальну чергу до лазні. Список правил на пару сотень IP пристойно навантажує VDS, що не є гуд.
Якщо доfirewall.confдодати один єдиний рядок:
У таблицях ipfw є одна вада, вони працюють тільки зIPv4. Оскільки перехід наIPv6не за горами, то працездатність диво-скрипту в найближчому майбутньому залишиться під питанням.