artem
03.06.2014
4903

Защита доступа Asterisk по базе IP Адресов России

Как организовать защиту сервера Asterisk, к которому необходимо подключать динамических абонентов с заведомо неизвестными IP-адресами?

Нередко у клиентов возникает необходимость подключать абонентов из домашних сетей, 3G/4G, гостиниц и ресторанов. Прописать заранее адреса этих мест не представляется возможным.

Приходится оставлять доступ к станции отовсюду, надеясь на сильные пароли и систему Fail2Ban. Однако, лишнее внимание к вашей станции со стороны потенциальных злоумышленников – это потенциальная опасность.

При этом, имея опыт и статистику взломов, можно достаточно опеределенно выявить два факта:

  • Злоумышленники производят сканирование и атаки чаще всего из других стран (особенно, из стран третьего мира, где не развита борьба с киберпреступностью)
  • Абоненты станции чаще всего работают только из той страны, где локализован бизнес компании. Иначе говоря, для российской компании редки случаи, когда абоненты работают из Уганды. Есть исключения, но о них – позднее.

Исходя из этих двух фактов возникает желание ограничить доступ к станции на уровне брандмауэра IPTables одним из двух способов:

  • Разрешать доступ к станции только из России (точнее, страны локализации бизнеса)
  • Запретить доступ к станции из стран третьего мира.

Задача решается в два этапа:

  1. Находим актуальный список адресов
  2. Загружаем их в IPTables

Выборку адресов по отдельным континентам удобнее всего получить на этом сайте: countryipblocks.net. Например, тут легко найти все сети России. Их более 7000.

Банить по всем континентам, кроме Евразийского даже еще проще. Об этом написано здесь.

Итак, получив в распоряжение нужные диапазоны IP-адресов остается лишь загрузить их в IPTables:

iptables -N BAD-CONTINENTS #создаем новую цепочку, в которую занесем сети для блокировки
iptables -A BAD-CONTINENTS -s 12.0.0.0/8 -j DROP  #добавляем по-очереди
iptables -A BAD-CONTINENTS -s 23.0.0.0/8 -j DROP
iptables -A BAD-CONTINENTS -s 30.0.0.0/8 -j DROP
……………….
iptables -A BAD-CONTINENTS -s  223.0.0.0/8 -j DROP
iptables -A BAD-CONTINENTS -j RETURN #правило возврата в родительскую цепочку

iptables -A INPUT -j BAD-CONTINENTS #направляем весь входящий трафик на проверку в созданную цепочку с проверкой на континенты.

Далее идут наши стандартные правила проверки на трафик. Тем самым мы на раннем этапе отметаем любой доступ к нашему серверу из перечисленных сетей.

P.s. Другой вопрос – что же делать в случаях, когда начальство уезжает на Гоа и все-таки планирует оттуда пользоваться IP-телефонией на Asterisk? Решение лежит в полоскости VPN-серверов. Но это уже тема для другого материала.

 
avatar
  Подписаться  
Уведомление о

Остались вопросы?

Я - Компаниец Никита, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование

ближайшие курсы

ближайшие Вебинары

ONLINE

Why Choose HUGE?

Unlimited pre-designed elements

Each and every design element is designed for retina ready display on all kind of devices

User friendly interface and design

Each and every design element is designed for retina ready display on all kind of devices

100% editable layered PSD files

Each and every design element is designed for retina ready display on all kind of devices

Created using shape layers

Each and every design element is designed for retina ready display on all kind of devices