Shema Jul 31 2013 at 11:23

Безопасность Asterisk

18 min

91K

Asterisk*

From sandbox

+12

Comments 6

slava_ch Jul 31 2013 at 17:03

Повторю свой недавний комментарий по поводу вот таких вот рекомендаций «Прячьте Asterisk за NAT»

Вы убили всю суть протокола SIP. А почтовый сервер у вас тоже за NAT стоит и вы наверно подключаетесь к нему по VPN?
…
Протокол SIP в первую очередь создавался с целью установки сессий между двумя клиентами, в том числе клиентами разных серверов. Точно также как и протокол Mail. А то как его используют сейчас (для звонков по транкам) меня просто раздражает. Любой человек должен иметь возможность позвонить вам на прямую sip:vasya@pupkin.ru, а не только по телефонным номерам. Вы все ругаете ОПСОСов а сами боитесь быть независимыми.

Все что вы описали тут это не проблема безопасности, а вопрос компетентности специалиста.

opium Jul 31 2013 at 21:44

Ох как же было бы круто, никаких тебе симок и привязанных номеров, одинаковые тарифы по всему миру и прочее счастье.

varnav Aug 6 2013 at 14:02

А что делать если нужна не «суть протокола SIP», а безопасные звонки для отдельно взятого офиса?

varnav Aug 6 2013 at 14:00

iptables -P INPUT ACCEPT
iptables -F
iptables -A INPUT -i lo -j ACCEPT

# eth0 is trusted
# iptables -A INPUT -i eth0 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Now we add rule to block everything but listed
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Allow HTTP
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Allow HTTPS
# iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Allow SIP from selected IPs
# iptables -A INPUT -p udp -m udp -s 123.123.123.123 --dport 5060 -j ACCEPT
# iptables -A INPUT -p udp -m udp -s 125.125.125.125 --dport 5060 -j ACCEPT
# iptables -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 5060 -j ACCEPT

# Allow all SIP
# iptables -A INPUT -p udp -m udp --dport 5060 -j ACCEPT
# iptables -A INPUT -p udp -m udp --dport 5061 -j ACCEPT

# Allow RTP
iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT

# t. 38 FAX
# iptables -A INPUT -p udp -m udp --dport 4000:4999 -j ACCEPT

# Allow IAX2 from selected IPs
# iptables -A INPUT -p udp -m udp -s 192.168.1.1 --dport 4569 -j ACCEPT

# Allow all IAX2
# iptables -A INPUT -p udp -m udp --dport 4569 -j ACCEPT

# AMI
# iptables -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT

#Antiflood
iptables -A INPUT -p udp --dport 5060 -m recent --set --name SIP
iptables -A INPUT -p udp --dport 5060 -m recent --update --seconds 2 --hitcount 20 --name SIP -j LOG --log-level INFO --log-prefix "SIP flood detected: " 

echo "Now do:"
echo "service iptables save"
echo "service iptables start"

varnav Aug 6 2013 at 14:01

varnav Aug 6 2013 at 14:19

Конфигурация fail2ban для защиты от SIP подбора:

forum.elastix.org/viewtopic.php?f=5&t=124118

Show the best of all time