я полагаю весь спектр мер по обеспечению безопасности должен быть освещен.
Параноя в этой отрасли лишней не бывает.

svoy что белый, что черный. черный это больше борьба с ветряными мельницами в виде ботов, червячная передача, зараженные компы пользунов, которые ни сном ни духом...., трафик, в случае пролома, один фиг польется с других адресов.
белый... основная трабла в регистрации внешних клиентов, периодически меняющих сети, автоматизация сопряжена с массой, порой не преодолимых, сложностей. руками вносить.. замучаешься.
тут скорее выбор под задачу.

имхо Repz выдал толковые рекомендации

Repz:

я собираюсь действовать по следующей схеме:
нестандартный порт регистрации.

в случае публичных сервисов может создать проблемы

Repz:

на него Fail2Ban.
пиры не меньше 6 знаков, далее для удобства допиливать диалпланом.
пароли сложные больше 8 символов.

однозначно

Repz:

ACL.

это что?
добавлю от себя:
перед астериском ставить прокси, который возьмет всю нагрузку на себя в случае DDOS, или хотябы в астере выставить maxcalls, что дасть заддосить, но хотябы живучесть будет повыше
Плюс на фаерволе сделать ограничение количества пакетов в секунду по конкретным портам, если превышает - то резать. Это противостоит брутфорсу (много не переберешь) и ддосу.

интересно, как вопрос решают в сипнете, телфине и прочих?

про этих не скажу, но на серьезных софтсвичах срабатывает защита, если несколько раз подряд неудачно пытался зарегаться, возможны и другие варианты. В крупных сетях софтсвич никогда голой задницей не включен в нет, только за
SBC (такой себе прокси + фаервол разбирающий пакеты до 5 уровня)

кстати, пароли для сипа рекомендуют от 10 символов..
пару лет назад была даже книга с рекомендациями по безопасности для Астериска..

;deny=0.0.0.0/0.0.0.0 ; ACL: Control access to this account based on IP address
;permit=192.168.0.60/255.255.255.0
;permit=192.168.0.60/24 ; we can also use CIDR notation for subnet masks

Ну-ну! Смотрим, читаем -
http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=37189
http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=36164
svoy, человек то Вам может быть известен?

ded, к чему эти ссылки? Там разбор идет плохо настроенного CCME. svoy, я так понимаю, говорил про операторские сети и сети сервис-провайдеров. Они действительно, в большинстве своем прикрываются SBC.

svoy говорил про серъёзные софтсвичи и крупные сети. У человека не конторка с CCME, это облэнерго. Сеть крупная. Но никак оказалось не защищена. Более того, человек думал, что SIP использует для сигнализации только TCP. То есть трафик на Кубу сливают через них ещё проще, чем через SIP экстены без паролей на Астерисках.

ded, спасибо за ссылки, поржал от души.
Сколько споров с цискарями было-то. Дальше цисок своих и айписека думать не умеют:

Если для своих, то можно, например, закрыть подключение к CCME VPN сервером. У пускать только через VPN клиента.

К сожалению у 7941 на борту нет IPSec VPN клиента, а прилагать к каждому телефону по 87х накладно будет

Неужели Cisco испоганив стока бумаги разговорами о секьюрити не позаботились об ограничении SIP подключений?

К сожалению IOS/CME SIP stack не умеет авторизовать INVITE, вследствие чего звонить (отправить INVITE) может любой хост.
Возможно это связано с тем, что код SIP Register и SIP trunk не связаны друг с другом.
- если SIP принципиален - ставить перед (вместо) CME SIP registrar, который умеет авторизовать INVITE (например asterisk), регистрировать интернет-телефоны на нем и до CME прописывать SIP Trunk

и это в 2010 году!
Понаставят цисок, а мозг включить забудут. Следствие уверенности в крутизне бренда и песням последнего о безопасности.

IOS/CME SIP stack умеет авторизовать INVITE. Начиная с версии 12.3(8) в секции sip-ua есть команда credentials <username password 0|7 domain realm> - это и есть авторизация INVITE.