artem
25.03.2013
30547
asterisk limit sip настройка трафик

Защита Asterisk от перебора паролей SIP и SIP DoS

Доступ к хосту по протоколу SIP не всегда можно ограничить определенным набором IP-адресов. Например, если к Asterisk нужно подключить клиент с динамическим IP-адресом, то в правилах iptables придется разрешить SIP с любых IP-адресов, и станция станет уязвима к подбору SIP-паролей. Подбор SIP-паролей занимает ресурсы АТС, так что это может стать для Asterisk еще и DoS-атакой. Ниже приведен ряд мер, которые позволят предотвратить успешный подбор SIP-пароля, а так же понизят затраты ресурсов АТС.

1. Настройка Asterisk
2. Правила iptables
3. Настройка fail2ban

 

Настройки Asterisk

Некоторые настройки протокола SIP мешают подбору паролей:

alwaysauthreject=yes

следует установить в sip.conf, после этого, на REGISTER с несуществующим номером Asterisk станет отвечать «401 Unathorized» вместо «404 Not Found», и взломщик не сможет определить, какие номера заведены на АТС.

deny=0.0.0.0/0.0.0.0
permit=<подсеть_из_которой_можно_подключаться>

с помощью этих настроек можно ограничить диапазон IP-адресов, с которых Asterisk будет принимать SIP-трафик для конкретного номера.

secret=<пароль>

если использовать пароли длиной 15 и более символов, состоящие из прописных букв, строчных букв и цифр, их подбор займет много лет.

 

Правила iptables

Следующие правила iptables логируют SIP-пакеты и банят IP-адрес на 1 час если с него пришло более 4-х SIP-пакетов за 30 секунд.

iptables -N BLACKLIST
iptables -A BLACKLIST -m recent —set —name blacklist
iptables -A BLACKLIST -j DROP

iptables -N SIP
iptables -A SIP -m recent —rcheck —name blacklist —seconds 3600 —hitcount 1 -j DROP
iptables -A SIP -m recent —set —name sip
iptables -A SIP -m recent —update —seconds 30 —hitcount 5 —name sip -m limit —limit 5 -j LOG —log-prefix=SIP_BRUTEFORCE_
iptables -A SIP -m recent —update —seconds 30 —hitcount 5 —name sip -j BLACKLIST
iptables -A SIP -j ACCEPT

iptables -A INPUT -m state —state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp —dport 5060 -j SIP

Сбрасывайте весь ipv6 трафик, если он Вам не нужен.

ip6tables -P INPUT DROP

 

Настройка fail2ban

Фильтры логов Asterisk входят в стандартный набор фильтров fail2ban. Настройки из /etc/fail2ban/jail.conf:

[DEFAULT]
ignoreip = 127.0.0.1
bantime = 3600
findtime = 600
backend = auto
[asterisk-iptables]
enabled = true
filter  = asterisk
action  = iptables-allports[name=SIP, protocol=all]
sendmail-whois[name=SIP, dest=your@email]
logpath = /var/log/fail2ban.log
maxretry = 5

Банит IP-адрес на 1 час и отправляет его whois-информацию на почту, если в течение 10-ти минут в логах Asterisk будет обнаружено более 5-ти неудачных попыток вызова/регистрации/входа. Считаются SIP, IAX2 и даже AMI.

Телефонная книга CallMetrix
Корпоративный телефонный справочник для удобной связи между сотрудниками организации
Скачать описание CallMetrix
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Остались вопросы?

Я - Кондрашин Игорь, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

Заказать звонок
Отправить сообщение
Заявка на расчет проекта

категории

VoIP оборудование

  • Fanvil X3S
    3 900 руб

  • Fanvil X3S
    2 990 руб

  • Fanvil X3S
    2 990 руб

  • Fanvil X3S
    2 990 руб

  • Fanvil X3S
    2 990 руб

  • Fanvil X3S
    2 990 руб


ближайшие курсы

Новые статьи

Настройка и использование шлюза Mediatrix 3301-001

10.11.2023

Слушатель AMI с возможностью фильтрования ивентов и отправкой уведомлений о звонке в телеграм

14.07.2023

Как сделать кастомный MusicOnHold в FreePBX с разграничением на ночь/день

03.07.2023
Описание
Описание
Описание
Описание
Описание
Описание

10 доводов в пользу Asterisk

Распространяется бесплатно.

Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.

Безопасен в использовании.

Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.

Надежен в эксплуатации.

Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.

Гибкий в настройке.

Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.

Имеет огромный функционал.

Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.

Интегрируется с любыми системами.

То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.

Позволяет телефонизировать офис за считанные часы.

В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.

Отличная масштабируемость.

Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.

Повышает управляемость бизнеса.

Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.

Снижает расходы на связь.

Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.

Подпишийтесь и получайте
только свежие новости и материалы