http://www.voip-info.jp/api.php?action=feedcontributions&feedformat=atom&user=Makoto2
VoIP-Info.jp - 利用者の投稿記録 [ja]
2026-04-09T23:13:44Z
利用者の投稿記録
MediaWiki 1.43.3
http://www.voip-info.jp/index.php?title=SIP-Fail2ban&diff=8971
SIP-Fail2ban
2014-10-28T09:52:14Z
<p>Makoto2: </p>
<hr />
<div>IAXでのFail2banは'''[[IAX-Fail2ban]]'''を参照してください。<br />
==fail2ban==<br />
ログファイルとiptablesを利用したファイアウォールの一種。Brute Forceアタックの対策に使いやすい。<br><br />
:http://www.fail2ban.org/<br />
:http://sourceforge.net/projects/fail2ban/<br />
==動作条件==<br />
pythonとiptablesが必要。yum install python iptablesなどで入れておいて下さい。<br />
==インストール==<br />
まずSFからfail2banをダウンロードし、展開します。<br />
tar jxvf fail2ban-0.8.4.tar.bz2<br />
展開したディレクトリでインストールを実行します。<br />
cd fail2ban-0.8.4<br />
python ./setup.py install<br />
スタートアップ・スクリプトをコピーしておきます(CentOSなどRedHat系の場合の例)。<br />
cp files/redhat-initd /etc/init.d/fail2ban<br />
<br />
==設定==<br />
===Asteriskのログフォーマットを変更する===<br />
Fail2banはそのままではAsteriskのログの日付を認識できないため、Asteriskのログフォーマットを変更します。<br><br />
/etc/asterisk/logger.confを編集し、日付のフォーマット変更を行います。<br><br />
[general]セクションにある<br />
dateformat=%F %T<br />
のコメントを外すか、もしこのエントリがなければ記述します。設定を変更したら、Asteriskを再起動するか、loggerモジュールのリロードを行って、変更を有効にします。これによりAsteriskのログの日付形式が以下のように変わりますので、確認してください。<br />
[2010-12-30 09:25:25] NOTICE[17537] chan_sip.c:.....<br />
===Asterisk用の定義ファイルを作る===<br />
/etc/fail2ban/filter.d ディレクトリに asterisk.conf という名前で以下のようなファイルを作ります。ここで指定したメッセージがBAN基準として使われるメッセージとなります。<br><br />
<br><br />
Asterisk 1.8系の場合<br />
# Fail2Ban configuration file<br />
#<br />
#<br />
# $Revision: 250 $<br />
#<br />
<br />
[INCLUDES]<br />
<br />
# Read common prefixes. If any customizations available -- read them from<br />
# common.local<br />
#before = common.conf<br />
<br />
<br />
[Definition]<br />
<br />
#_daemon = asterisk<br />
<br />
# Option: failregex<br />
# Notes.: regex to match the password failures messages in the logfile. The<br />
# host must be matched by a group named "host". The tag "<HOST>" can<br />
# be used for standard IP/hostname matching and is only an alias for<br />
# (?:::f{4,6}:)?(?P<host>\S+)<br />
# Values: TEXT<br />
#<br />
<br />
failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password<br />
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found<br />
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch<br />
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL<br />
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register<br />
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Not a local domain<br />
<br />
# Option: ignoreregex<br />
# Notes.: regex to ignore. If this regex matches, the line is ignored.<br />
# Values: TEXT<br />
#<br />
ignoreregex =<br />
Asterisk 1.6とそれ以前の場合<br />
# Fail2Ban configuration file<br />
#<br />
#<br />
# $Revision: 250 $<br />
#<br />
<br />
[INCLUDES]<br />
<br />
# Read common prefixes. If any customizations available -- read them from<br />
# common.local<br />
#before = common.conf<br />
<br />
<br />
[Definition]<br />
<br />
#_daemon = asterisk<br />
<br />
# Option: failregex<br />
# Notes.: regex to match the password failures messages in the logfile. The<br />
# host must be matched by a group named "host". The tag "<HOST>" can<br />
# be used for standard IP/hostname matching and is only an alias for<br />
# (?:::f{4,6}:)?(?P<host>\S+)<br />
# Values: TEXT<br />
#<br />
<br />
failregex = Registration from '.*' failed for '<HOST>' - Wrong password<br />
Registration from '.*' failed for '<HOST>' - No matching peer found<br />
Registration from '.*' failed for '<HOST>' - Username/auth name mismatch<br />
Registration from '.*' failed for '<HOST>' - Device does not match ACL<br />
Registration from '.*' failed for '<HOST>' - Peer is not supposed to register<br />
Registration from '.*' failed for '<HOST>' - Not a local domain<br />
<br />
# Option: ignoreregex<br />
# Notes.: regex to ignore. If this regex matches, the line is ignored.<br />
# Values: TEXT<br />
#<br />
ignoreregex =<br />
Asterisk 1.8とそれ以前ではログのホスト部分にポート番号を含む、含まないの違いがあるためfailregexの記述を変える必要がありますので注意してください。この部分に合致するメッセージが、ログファイルに現れたならばBAN基準になりますので注意して記述します。これ意外にも、引っかけたいメッセージがある場合にはそれも記述するとよいでしょう。<br><br />
<br />
===BANのアクションを作成する===<br />
ここではUDPの5060ポート、つまりSIPだけをBAN対象としたいためアクションをSIP用に作成します。 /etc/fail2ban/action.d で以下のようにしてアクションを作成します。<br><br />
まず<br />
cp iptables-allports.conf iptables-sip.conf<br />
を行って、全ポート用のアクションをコピーします。次に iptables-sip.conf を編集し、以下のようにBANとUNBANのエントリを修正します。<br />
# Option: actionban<br />
# Notes.: command executed when banning an IP. Take care that the<br />
# command is executed with Fail2Ban user rights.<br />
# Tags: <ip> IP address<br />
# <failures> number of failures<br />
# <time> unix timestamp of the ban time<br />
# Values: CMD<br />
#<br />
actionban = iptables -I fail2ban-<name> 1 -s <ip> -p udp --dport 5060 -j DROP<br />
<br />
# Option: actionunban<br />
# Notes.: command executed when unbanning an IP. Take care that the<br />
# command is executed with Fail2Ban user rights.<br />
# Tags: <ip> IP address<br />
# <failures> number of failures<br />
# <time> unix timestamp of the ban time<br />
# Values: CMD<br />
#<br />
actionunban = iptables -D fail2ban-<name> -s <ip> -p udp --dport 5060 -j DROP<br />
-p udp と --dport 5060 を actionban と actionunban に追記します。<br />
<br />
===fail2banの設定ファイルを修正===<br />
/etc/fail2ban にある jail.conf ファイルの最後に以下を追加します。<br />
[asterisk-iptables]<br />
<br />
enabled = true<br />
filter = asterisk<br />
action = iptables-sip[name=ASTERISK, protocol=all]<br />
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.net]<br />
logpath = /var/log/asterisk/messages<br />
maxretry = 5<br />
findtime = 600<br />
bantime = 604800<br />
*action<br />
BAN処理のアクションを定義します。この例ではiptables-sipを実行します。その後、sendmail-whois で BANしたIPアドレスのwhois情報を dest= で指定された宛先に送ります。このとき使用されるメールのFrom:はfail2ban@exampleになりますので、適切なものに書き換えます。<br><br />
アクションの所で iptables-allports を指定するとSIPだけでなく、すべてのポートからの接続を蹴るように iptables に設定されます。『怪しい攻撃元』をブロックするという意味では、こちらのアクションの方がより安全と言えます。<br />
*logpath<br />
Asteriskのログファイルへのパスを記述します。<br />
*maxretry<br />
何回以上失敗したらBANするかの指定です。<br />
*findtime<br />
この時間内にmaxretryで指定した回数以上失敗するとBANします。上の例では600秒(10分)の間に、5回以上の失敗があった場合にはBANされます。<br />
*bantime<br />
ここで指定された期間がBAN期間になります。指定は秒数です。上の例では 60x60x24x7=604800、つまり1週間になります。<br />
<br />
==fail2banを起動する==<br />
/etc/init.d/fail2ban start<br />
起動したら期待の動作をするかどうかを、よく確認してください。試しに故意に間違えたパスワードで5回以上ログインをしてみるなどです。<br><br />
起動に問題がなければ、fail2banが自動起動されるように登録しておけば良いでしょう。<br />
chkconfig --add fail2ban<br />
===起動の確認===<br />
iptables -L -v で確認すると<br />
61638 8222K fail2ban-ASTERISK all -- any any anywhere anywhere<br />
や<br />
Chain fail2ban-ASTERISK (1 references)<br />
pkts bytes target prot opt in out source destination<br />
61627 8216K RETURN all -- any any anywhere anywhere<br />
のようなエントリがあるはずです。<br><br />
BANされるとメールが送られ<br />
11 6424 DROP udp -- any any xxx.xxx.xxx.xx anywhere udp dpt:5060<br />
のようなDROPのエントリが追加されているはずです。<br />
<br />
<br />
==INVITEによるBrute force攻撃への対策==<br />
REGISTERメッセージによる攻撃以外に、INVITEによるBrute force攻撃も確認されています。<br />
<br />
この攻撃時に出力されるログメッセージは以下のようなものになります。<br />
<br />
Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c <br />
<br />
このログメッセージの攻撃元IPアドレスが、FROMヘッダに記載されているIPアドレスになっています。<br />
<br />
このままでは、NAT配下のサーバーからの攻撃や、FROMヘッダが偽装された場合にfail2banで対応することができません。<br />
<br />
そこで、Asteriskへパッチを当てて、実際の攻撃元IPアドレスを表示するように修正します。<br />
<br />
===Asteriskへパッチを当てる===<br />
<br />
次のようなパッチをAsteriskに適用します。<br />
<br />
このパッチはAsterisk-1.4.40を対象にしていますが、1.6系、1.8系にも同様の修正で対応できます。<br />
<br />
--- asterisk-1.4.40.orig/channels/chan_sip.c 2011-01-05 02:11:48.000000000 +0900<br />
+++ asterisk-1.4.40/channels/chan_sip.c 2011-03-10 17:59:26.000000000 +0900<br />
@@ -15456,7 +15456,7 @@<br />
ast_log(LOG_NOTICE, "Sending fake auth rejection for user %s\n", get_header(req, "From"));<br />
transmit_fake_auth_response(p, SIP_INVITE, req, XMIT_RELIABLE);<br />
} else {<br />
- ast_log(LOG_NOTICE, "Failed to authenticate user %s\n", get_header(req, "From"));<br />
+ ast_log(LOG_NOTICE, "Failed to authenticate user %s (%s:%d)\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr), ntohs(sin->sin_port));<br />
transmit_response_reliable(p, "403 Forbidden", req);<br />
}<br />
p->invitestate = INV_COMPLETED;<br />
<br />
こちらは Asterisk-1.8.23.0 用です。Asterisk-11.5.1 でもほぼ同じコードが使えます。<br />
<br />
--- asterisk-1.8.23.0/channels/chan_sip.c.orig 2013-08-02 11:41:03.233638321 +0900<br />
+++ asterisk-1.8.23.0/channels/chan_sip.c 2013-12-06 14:51:08.698990909 +0900<br />
@@ -22673,7 +22673,7 @@<br />
return 0;<br />
}<br />
if (res < 0) { /* Something failed in authentication */<br />
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));<br />
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));<br />
transmit_response(p, "403 Forbidden", req);<br />
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);<br />
return 0;<br />
@@ -23334,7 +23334,7 @@<br />
goto request_invite_cleanup;<br />
}<br />
if (res < 0) { /* Something failed in authentication */<br />
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));<br />
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));<br />
transmit_response_reliable(p, "403 Forbidden", req);<br />
p->invitestate = INV_COMPLETED;<br />
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);<br />
@@ -25164,7 +25164,7 @@<br />
p->lastinvite = seqno;<br />
return 0;<br />
} else if (auth_result < 0) {<br />
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));<br />
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));<br />
transmit_response(p, "403 Forbidden", req);<br />
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);<br />
ast_string_field_set(p, theirtag, NULL);<br />
@@ -25384,7 +25384,7 @@<br />
if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */<br />
return 0;<br />
if (res != AUTH_SUCCESSFUL) {<br />
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));<br />
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));<br />
transmit_response(p, "403 Forbidden", req);<br />
<br />
pvt_set_needdestroy(p, "authentication failed");<br />
<br />
<br />
パッチを当てて、Asteriskをコンパイルし直し、再起動します。<br />
<br />
すると、先ほどの攻撃時のログは以下のように出力されるようになります。<br />
<br />
Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c (123.45.67.89:5060)<br />
<br />
ログの( )内に攻撃元の実IPアドレスが表示されるようになり、これを元にfail2banで攻撃を検知することができます。<br />
<br />
===fail2banへ設定を追加===<br />
<br />
修正したログに合わせたフィルタ設定をfail2banに追加します。<br />
<br />
/etc/fail2ban/filter.d/asterisk.conf の failregex の項目に以下を追加します。<br />
<br />
NOTICE.* .*: Failed to authenticate user .* \(<HOST>:.*\)<br />
<br />
フィルタ追加後、fail2banを再起動し設定完了です。<br />
<br />
[[Category:セキュリティ]]</div>
Makoto2