Como mejorar la seguridad de su central Asterisk usando Fail2ban

    En la actualizad existen muchas centrales IP Asterisk que vienen siendo utilizadas por pequeñas, medianas y grandes empresas como sus centrales telefónicas en la nube el cual les permite trabajar desde casa y manejar toda la estructura de telefonía tal como si estarían físicamente en sus instalaciones; sin embargo al estar en la nube la central Asterisk esta expuesto a ataques de diversos tipo debido que existen varias herramientas que permiten escanear servicios SIP y mostrarnos las extensiones y contraseñas configuradas, con esto registrar extensiones y realizar llamadas por lo que es muy importante mitigar los riesgos de seguridad y bloquear de manera preventiva esos ataques de una manera automática para evitar fraudes o que se roben información de la empresa.


    En este articulo demostraremos como instalar y configurar fail2ban para ayudar a proteger un servidor Asterisk. Con fail2ban tu puedes configurar tu servidor basado en Linux para bloquear de manera automática direcciones IP que tienen actividades sospechosas.

    Fail2ban

    La aplicación fail2ban supervisa los archivos de registro del servidor en busca de intentos de intrusión y otras actividades sospechosas. Después de un número predefinido de fallas de un host, fail2ban bloquea su dirección IP automáticamente por una duración específica.


    Con fail2ban, puede ayudar a proteger su servidor contra intentos de acceso no autorizados. Es particularmente eficaz para reducir el riesgo de ataques de fuerza bruta y basado en botnets.

    Instalando Fail2ban

    Para instalar el paquete fail2ban para su distribución de Linux:

    Para Debian y Ubuntu, ingresar el siguiente comando:

    • apt-get install fail2ban

    Para CentOS, ingrese el siguiente comando:

    1. yum install fail2ban
    2. Configurar Fail2ban

    Después de instalar fail2ban, está listo para configurarlo. Para hacer esto, siga estos pasos:

    1. Inicie sesión en su servidor utilizando SSH.
    2. En el símbolo del sistema, escriba el siguiente comando:

    cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

    El archivo jail.conf contiene una configuración básica que puede usar como punto de partida, pero puede sobrescribirse durante las actualizaciones. Fail2ban usa el archivo jail.local separado para leer realmente las configuraciones.

    • Abra el archivo jail.local en su editor de texto preferido
    • Busque la sección [default], que contiene las siguientes opciones globales:

    ignoreip: esta opción le permite especificar direcciones IP o nombres de host que fail2ban ignorará. Por ejemplo, puede agregar la dirección IP de su hogar u oficina para que fail2ban no le impida acceder a su propio servidor. Para especificar varias direcciones, sepárelas con un espacio. Por ejemplo:
    ignoreip = 127.0.0.1/8 45.232.150.1

    bantime: esta opción define en segundos cuánto tiempo está prohibida una dirección IP o host. El valor predeterminado es 600 segundos (10 minutos).

    maxretry: esta opción define el número de fallas que se permite a un host antes de que sea prohibido.

    findtime: esta opción se usa junto con la opción maxretry. Si un host excede la configuración de maxretry dentro del período de tiempo especificado por la opción findtime, está prohibido por el período de tiempo especificado por la opción bantime.

     

    Con las opciones globales de fail2ban configuradas, ahora está listo para habilitar y deshabilitar jails para los protocolos y servicios específicos que desea proteger. De manera predeterminada, fail2ban supervisa los intentos de inicio de sesión SSH (puede buscar la sección [ssh-iptables] en el archivo jail.local para ver la configuración específica de la cárcel SSH).

    El archivo jail.local incluye la configuración predeterminada de la cárcel para varios protocolos. A menudo, todo lo que necesita hacer para habilitar una jail es cambiar su línea enabled = false a enabled = true y reiniciar el servicio fail2ban. También puede definir jails y filtros personalizados para una flexibilidad adicional. Para obtener más información sobre cómo hacer esto, visite  http://www.fail2ban.org/wiki/index.php/MANUAL_0_8.

    • Guarde sus cambios en el archivo jail.local.

    Para reiniciar el servicio fail2ban y cargar la nueva configuración, escriba el siguiente comando:

    • service fail2ban restart

    Para mostrar todas las direcciones IP que fueron bloqueadas por fail2ban, ingrese el siguiente comando:

    iptables -S

    Por ejemplo, la siguiente linea muestra una direccion IP bloqueado por el SSH:

    -A fail2ban-SSH -s 190.114.4.124/32 -j REJECT –reject

    Share on facebook
    Facebook
    Share on linkedin
    LinkedIn
    Share on google
    Google+