Как защитить Asterisk от подбора паролей.

Решил я как-то раз поднять SIP-сервер для своих нужд. Выход во внешние сети был не нужен, поднял я этот сервис только для своих. Не успел его поднять, как доблестные тайваньские хакеры дружно начали брутфорсить логины и пароли на мой астериск. Причем делали это внаглую в многопоточном режиме, цифры подставляли методом научного перебора:

[Jan 13 09:45:12] NOTICE[15489] chan_sip.c: Registration from '"0"' failed for '210.240.176.51' - No matching peer found 
[Jan 13 09:45:12] NOTICE[15489] chan_sip.c: Registration from '"1"' failed for '210.240.176.51' - No matching peer found
[Jan 13 09:45:12] NOTICE[15489] chan_sip.c: Registration from '"test"' failed for '210.240.176.51' - No matching peer found
[Jan 13 09:45:12] NOTICE[15489] chan_sip.c: Registration from '"2"' failed for '210.240.176.51' - No matching peer found
[Jan 13 09:45:12] NOTICE[15489] chan_sip.c: Registration from '"3"' failed for '210.240.176.51' - No matching peer found
[Jan 13 09:45:12] NOTICE[15489] chan_sip.c: Registration from '"4"' failed for '210.240.176.51' - No matching peer found
[Jan 13 09:45:12] NOTICE[15489] chan_sip.c: Registration from '"5"' failed for '210.240.176.51' - No matching peer found
[Jan 13 09:45:12] NOTICE[15489] chan_sip.c: Registration from '"6"' failed for '210.240.176.51' - No matching peer found
[Jan 13 09:45:12] NOTICE[15489] chan_sip.c: Registration from '"7"' failed for '210.240.176.51' - No matching peer found
....

С такими темпами они могут вычислить реально существующие внутренние номера телефонов и перейти ко второму этапу – подбору паролей. Чтобы не выдавать проклятым буржуином государственных секретов информацию о существующих номерах, надо в sip.conf в секцию [general] добавить всего одну строчку:

alwaysauthreject = yes

Тогда астериск при неуспешной авторизации будет давать им отбивку 401 Unauthorized, и они не будут знать, верный ли логин был введен. Такая настройка осложнит им жизнь, но полностью от них не избавит.

Вторая вещь, которую следует сделать, это анализировать логи астериска на предмет наличия неверной аутентификации. И в случае обнаружения попыток подбора пароля отправлять подозрительные айпишника в бан.

Для Linux есть подходящее решение, связанное с установкой и настройкой fail2ban, которое построено на iptables. Мне же это решение не подошло, потому что мой Астериск крутится на хостинге с FreeBSD, а там используется ipfw вместо до боли знакомого iptables. Путем долгих экспериментов пришел к тому, что не стоит добавлять все вражеские айпишники в общую очередь в баню. Список правил на пару сотен айпи прилично нагружает VDS, что не есть гуд.

Но ipfw оказался намного лучше, чем казалось на первый взгляд. У него предусмотрен механизм обработки тысяч правил обработки IP адресов, если их загнать в так называемые таблицы ipfw:

Если в firewall.conf добавить одну единственную строчку:

add reject ip from table(15) to me

то все айпишники, оказавшиеся в таблице 15 будут забанены. Причем уже не так уж и важно, сколько их там будет сотня или тысяча, скорость обработки таких списков остается очень высокой, и это намного лучше, чем их обрабатывать обычными правилами вроде таких:

add reject ip from 1.2.3.0/24 to me
add reject ip from 175.12.135.0/24 to me

Правила добавляются в таблицу в любой момент времени, и моментально начинают свою работу. Погуглив немного, я нашел готовый скрипт для FreeBSD, который всех неудачно авторизовавшихся загоняет в бан на сутки. Его можно аккуратно допилить, немного ужесточить правила и все будет работать на отлично.

У таблиц ipfw есть один недостаток, они работают только с IPv4. А так как переход на IPv6 не за горами, то работоспособность чудо-скрипта в ближайшем будущем останется под вопросом.