artem
03.06.2014
8267

Защита доступа Asterisk по базе IP Адресов России

Как организовать защиту сервера Asterisk, к которому необходимо подключать динамических абонентов с заведомо неизвестными IP-адресами?

Нередко у клиентов возникает необходимость подключать абонентов из домашних сетей, 3G/4G, гостиниц и ресторанов. Прописать заранее адреса этих мест не представляется возможным.

Приходится оставлять доступ к станции отовсюду, надеясь на сильные пароли и систему Fail2Ban. Однако, лишнее внимание к вашей станции со стороны потенциальных злоумышленников — это потенциальная опасность.

При этом, имея опыт и статистику взломов, можно достаточно опеределенно выявить два факта:

  • Злоумышленники производят сканирование и атаки чаще всего из других стран (особенно, из стран третьего мира, где не развита борьба с киберпреступностью)
  • Абоненты станции чаще всего работают только из той страны, где локализован бизнес компании. Иначе говоря, для российской компании редки случаи, когда абоненты работают из Уганды. Есть исключения, но о них — позднее.

Исходя из этих двух фактов возникает желание ограничить доступ к станции на уровне брандмауэра IPTables одним из двух способов:

  • Разрешать доступ к станции только из России (точнее, страны локализации бизнеса)
  • Запретить доступ к станции из стран третьего мира.

Задача решается в два этапа:

  1. Находим актуальный список адресов
  2. Загружаем их в IPTables

Выборку адресов по отдельным континентам удобнее всего получить на этом сайте: countryipblocks.net. Например, тут легко найти все сети России. Их более 7000.

Банить по всем континентам, кроме Евразийского даже еще проще. Об этом написано здесь.

Итак, получив в распоряжение нужные диапазоны IP-адресов остается лишь загрузить их в IPTables:

iptables -N BAD-CONTINENTS #создаем новую цепочку, в которую занесем сети для блокировки
iptables -A BAD-CONTINENTS -s 12.0.0.0/8 -j DROP  #добавляем по-очереди
iptables -A BAD-CONTINENTS -s 23.0.0.0/8 -j DROP
iptables -A BAD-CONTINENTS -s 30.0.0.0/8 -j DROP
……………….
iptables -A BAD-CONTINENTS -s  223.0.0.0/8 -j DROP
iptables -A BAD-CONTINENTS -j RETURN #правило возврата в родительскую цепочку

iptables -A INPUT -j BAD-CONTINENTS #направляем весь входящий трафик на проверку в созданную цепочку с проверкой на континенты.

Далее идут наши стандартные правила проверки на трафик. Тем самым мы на раннем этапе отметаем любой доступ к нашему серверу из перечисленных сетей.

P.s. Другой вопрос — что же делать в случаях, когда начальство уезжает на Гоа и все-таки планирует оттуда пользоваться IP-телефонией на Asterisk? Решение лежит в полоскости VPN-серверов. Но это уже тема для другого материала.

Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Остались вопросы?

Я - Компаниец Никита, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование


ближайшие курсы

10 доводов в пользу Asterisk

Распространяется бесплатно.

Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.

Безопасен в использовании.

Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.

Надежен в эксплуатации.

Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.

Гибкий в настройке.

Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.

Имеет огромный функционал.

Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.

Интегрируется с любыми системами.

То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.

Позволяет телефонизировать офис за считанные часы.

В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.

Отличная масштабируемость.

Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.

Повышает управляемость бизнеса.

Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.

Снижает расходы на связь.

Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.