Blocking Asterisk hacking/scanning attempts with fail2ban | SysAdminMan Blog. Warning – if you follow these instructions fail2ban will, by default, be protecting you against other scans such as ssh attempts. This means though that if you get your IP blocked you will not be able to connect to your server from that IP. Ensure that you whitelist your IP by following the instructions at the end of the post. Over the past few weeks we have seen a big jump in the scanning of VOIP servers.
All of these scans are brute force scanning attempts that first scan for valid extension numbers and then to brute force guess the extension password by repeatedly trying different passwords. Unfortunately Asterisk doesn’t have anything built-in to prevent these types of scans but it is very good at logging these attempts in the Asterisk logs. This means we can use a free utility called fail2ban and the linux iptables firewall to block IP addresses that make repeated failed login attempts.
Most of the information in this post was taken from here, so please visit for more information. Premiers pas avec Fail2ban. I. Présentation Dans ce tutoriel, nous allons voir l’installation, le fonctionnement global et la configuration de l’outil Fail2ban qui est un outil de sécurité intéressant et reconnu. Fail2ban permet en effet de sécuriser les serveurs par l’automatisation de la détection de comportements suspects et leur blocage ou l’envoi d’alertes. Pour information, ce tutoriel s’effectue sur une machine Debian 7 sur une machine virtuelle VirtualBox.
II. Fail2ban est donc un outil que l’on peut installer sur une machine UNIX, il va se charger de parser (lire, parcourir) les logs de différentes applications pour vérifier et détecter des comportements dis “suspects”. Le fonctionnement de Fail2ban se fait avec des prisons. Comme déjà dit, par défaut, des règles sont déjà écrites et permettent de couvrir différents services comme : SSHApacheVSFtpdqmailcourriereximwebmin… III. Nous allons maintenant nous pencher sur l’installation de Fail2ban, c’est relativement simple. IV. [Definition] _daemon = sshd V. Fail2ban. Fail2ban est une application qui analyse les logs de divers services (SSH, Apache, FTP…) en cherchant des correspondances entre des motifs définis dans ses filtres et les entrées des logs. Lorsqu'une correspondance est trouvée une ou plusieurs actions sont exécutées. Typiquement, fail2ban cherche des tentatives répétées de connexions infructueuses dans les fichiers journaux et procède à un bannissement en ajoutant une règle au pare-feu iptables ou nftables pour bannir l'adresse IP de la source.
Installez le paquet fail2ban disponible dans les dépôts Universe. Il convient ensuite de lancer le service fail2ban systemctl start fail2ban puis d'en créer le démarrage automatique systemctl enable fail2ban Et enfin de contrôler la bonne installation systemctl status fail2ban Si la réponse comporte du vert et les mots "active (running)" sur la ligne commençant par "Active :", le service est installé et actif. Généralités Mais cela n'améliore en rien la sécurité du service concerné. Paramétrage par défaut. Ferferfre.