Protection asterisk avec fail2ban

Dans un précédent article j’ai présenté comment protéger son serveur des attaques bruteforce avec l’aide de fail2ban. Comme décrit dans cet article de nos jours, il est très important de se protéger de ce type d’attaque et c’est pourquoi dans ce billet je vais vous montrer comment protéger un serveur asterisk avec fail2ban en une dizaine de minutes au maximum.

1. Installation de fail2ban

Si vous n’avez pas fail2ban d’installé, passez voir l’article ici

2. Création du fichier filtre

Vous devez créer le fichier /etc/fail2ban/filter.d/asterisk.conf et le remplir avec ceci :

Pour des raisons de mauvais affichage, consultez le fichier texte disponible ici => asterisk.conf

Corrigé suite aux commentaires d’Emmanuel que je remercie de cette information 😉

3. Création de la prison (jail)

Éditez le fichier /etc/fail2ban/jail.conf et ajoutez ceci dans la liste des jails :

[asterisk-iptables]
 
enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org]
logpath  = /var/log/asterisk/messages
maxretry = 5
bantime = 259200

4. Modification du logger d’asterisk

Vous devez modifier la configuration du logger d’asterisk pour des raisons de compatibilité de format de date, éditez le fichier /etc/asterisk/logger.conf et décommentez la ligne dateformat comme ceci :

 [general]
 dateformat=%F %T

Relancez le logger asterisk via la commande shell suivante :

asterisk -rx "logger reload"

5. Recommandations

[nice_warning]Attention à ne pas vous bannir ainsi que les autres utilisateurs du système, je vous rapelle que pour la configuration donnée, une ip bannie par fail2ban est totalement bloquée sur tous les ports[/nice_warning]

6. Fin

Redémarrez fail2ban :

/etc/init.d/fail2ban restart

Le tour est joué 🙂 Vous pouvez tester ca fonctionne 🙂