Безопасность:
Принцип работы данного модуля основан на географическом разделении возможности получить доступ к серверу.
Как известно, подавляющее большинство попыток взлома серверов исходит из государств бывшего СНГ, Азии, Африки и восточной Европы.
Включение данного модуля позволяет ограничить доступ к АТС только российскими и локальными IP адресами. Адресам вне России при попытках сканирования не будет присылаться никакого ответа, поэтому они даже не будут знать о существовании данного сервера.
При необходимости можно добавить любой пользовательский IP в список исключения. В поле Добавить IP, IP необходимо указывать с CIDR (пример, 10.10.10.0/24).
При выключении модуля доступ возможен со всех IP адресов.
Данный раздел основан на построении цепочек iptables и проверки IP адресов из баз данных GEOIP.
Настройки fail2ban:
В систему интегрирован модуль защиты от несанкционированного доступа fail2ban, который на основе сообщений о попытках доступа (по ssh, ftp, при регистрации абонентов asterisk) ограничивает доступ с ip-адреса источника. Например, после 5 попыток авторизации внутреннего абонента с неверным логином или паролем все запросы с его IP-адреса будут игнорироваться 72 часа. Тем самым, взлом системы методом последовательного перебора паролей (брутфорс) становится невозможным. В поле Адреса для игнорирования вы можете внести сети, в безопасности которых вы уверены, и тогда fail2ban не будет блокировать пользователей, принадлежащих этим сетям. Если вы не уверены в необходимости игнорирования сетей, не используйте эту опцию. Никогда не вносите в Адреса для игнорирования внешние ip-сети, только единичные ip-адреса!
Время бана — время, на которое будет заблокирован IP. Указывается в секундах.
Максимальное количество попыток — количество неправильных попыток авторизации на сервер.
Время поиска — период времени перед баном IP, учитывается максимальное количество попыток в указанное время.
email для уведомлений — почта куда будут отправляться отчеты о банах.
Белый список — список IP адресов, входящих в доверенную зону.