fail2ban nu e suficient să-ți protejeze PBX-ul. Iată de ce.
De ce filtrarea geografică este complementul esențial al fail2ban pentru securitatea centralei tale PBX. Protecție proactivă vs reactivă.
Problema: fail2ban e reactiv
Dacă administrezi un PBX Asterisk expus la internet, aproape sigur ai fail2ban instalat. E standard, e gratuit, e simplu. Blochează IP-urile care încearcă prea multe autentificări eșuate.
Problema e că fail2ban e reactiv. Așteaptă să se întâmple atacul, îl detectează din log-uri, și abia apoi blochează IP-ul. În intervalul ăla — câteva secunde sau câteva minute — atacatorul a trimis deja sute de request-uri SIP. Iar dacă are un botnet, folosește zeci de IP-uri simultan, din țări diferite. Până când fail2ban le blochează pe toate, paguba poate fi deja făcută.
Am văzut situația asta de prea multe ori. Un client descoperă dimineața că are o factură de mii de euro la provider-ul de telefonie. Apeluri spre numere premium, țări exotice, destinații cu tarif mare. Atacul a durat sub o oră, dar a folosit IP-uri din 12 țări diferite.
Soluția: filtrare geografică
Aici intervine filtrarea geografică.
În loc să aștepți atacul și să reacționezi, blochezi preventiv toate țările din care nu ai nevoie de trafic SIP. Majoritatea afacerilor din România au nevoie de trafic SIP din maxim 5-6 țări. Restul de 240+ țări nu au niciun motiv să trimită pachete SIP către PBX-ul tău.
PBX Firewall GeoFilter din PBXTools face exact asta. Din portal selectezi țările permise, alegi modul de operare (permite doar țările selectate sau blochează doar țările selectate), și regulile se aplică pe server instant. La dezactivare, totul revine curat la starea inițială.
Performanța e importantă: regulile sunt aplicate la nivel de kernel, înainte ca traficul să ajungă la centrală. Verificarea e instantanee — indiferent dacă ai 100 sau 100.000 de IP-uri în listă. Nu încetinește serverul, nu afectează apelurile legitime.
Apărare pe mai multe niveluri
Un detaliu important: fail2ban și GeoFilter nu se exclud reciproc. Le folosești împreună. GeoFilter blochează proactiv traficul din țări irelevante, fail2ban se ocupă de ce trece prin filtrele geografice. Apărare pe mai multe niveluri.
De la activarea GeoFilter pe flota noastră de PBX-uri, numărul de tentative de brute force înregistrate în fail2ban a scăzut cu peste 90%. Nu pentru că atacurile s-au oprit, ci pentru că nu mai ajung la centrală.
Dacă gestionezi un PBX Asterisk și singurul tău mecanism de apărare e fail2ban, adaugă filtrare geografică. Azi.