подбирают доступ к SIP

Question

Всем привет. У меня логи показывают, что кто-то подбирает пароли к SIP для моего астериска.

Как запретить доступ через IPFW ? Вроде прописал правила, но не помогает. Вот такое правило даже не помогает... или я с портом что то путаю.... ipfw add 1000 deny all from any 5060 to any 5060

Как проверить тот порт я перекрываю или нет?

Answer 1

4

sip.conf: alwaysauthreject=yes
sip.conf: у пиров ставим deny=0.0.0.0/0.0.0.0, permit=192.168.0.0/16 скажем если он - внутренний, удобно через шаблон
fail2ban: http://my-debian.blogspot.com/2010/04/asterisk-fail2ban.html
в диалплане явно указать что звонки на всякие левые страны идут в сад :) Должно помочь от звонков на Кубу - кста я непрочь туда и слетать :)

ссылка удалить спам редактировать

ответил Jan 30 '11

Zavr2008

2886 ● 11 ● 9 ● 40
http://mh.otx.ru/

обновил Jan 31 '11

Comments

еще если совсем уж паранойа подгребает, поставить OpenSips отдельно .. Кста: на АстриКоне последнем во всех докладах народ долбил, НЕ СТАВТЕ ПАСС АНАЛОГИЧНЫЙ НОМЕРУ ЭКСТЕНА :))))) Zavr2008 (Jan 30 '11)edit

а если это телеком компания, продающая транзитный трафик? и на кубе есть партнеры? erizo (Jan 31 '11)edit

ну тогда п.4 думаю излишен, я написал в расчете на корп юзеров.. Тогда, наверное, стоит поставить скажем софт Меры сверху и сетку астеров для терминации в отдельные страны, часть астеров не хостингах... Ну и на самих астерах прописать жестко пиры.. Опять же тогда встают еще вопросы по связке с биллингом и еще куча всего.. Zavr2008 (Jan 31 '11)edit

OpenSips для подобных целей наверное в тему.. Играюсь с ним сейчас Zavr2008 (Feb 7 '11)edit

Answer 2

Почему вы ограничиваете исходящий порт 5060? Инициирование сессии может произойти с любого порта. Ну а конечный, тот который у вас указан в sip.conf.

Другими словами попробуйте:

ipfw add 1000 deny all from any to any 5060

Предварительно разрешите доступ с тех хостов, доступ с которых разрешен.

Answer 3

2

http://it-kub.ru/articles/bezopasnostasterisk.html - здесь есть перевод статьи Кэрри Гаризона по безопасности Asterisk

ссылка удалить спам редактировать

ответил Feb 18 '11

Vit
41 ● 4 ● 6

Answer 4

0

Не совсем в тему, но может окажет помощь. Неплохая статья по основам защиты сервера телефонии, правда, только для тех, кто "дружит" с английским: http://nerdvittles.com/index.php?p=580

ссылка удалить спам редактировать

ответил Feb 2 '11

Ankabut
31 ● 3 ● 2 ● 6

обновил Feb 2 '11

Answer 5

0

Самый простой, но очень эффективный метод, просто поменять порт с 5060 на какой нибудь не стандартный , скажем 25060. Этого уже вполне достаточно что защитится от тупых ботов.

ссылка удалить спам редактировать

ответил Feb 18 '11

forsage
26 ● 1 ● 4

обновил Feb 18 '11

Comments

Зато плохо в этом случае для тех, кто на вход звонит. Не у всех фаерволы все порты пробрасывают. Zavr2008 (Feb 21 '11)edit

Answer 6

0

а если парсить лог файл каким-либо скриптом и добавлять ipfw/iptables ?

ссылка удалить спам редактировать

ответил Feb 20 '11

um2010
2056 ● 70 ● 13 ● 55

Comments

1

fail2ban уже делает подобное в реальном времени svoy (Feb 21 '11)edit

Answer 7

0

в файл: sip.conf

пропиши: alwaysauthreject = yes

и поставь на все экстеншены пароли типа sadkj@$&FD122FGB

тогда все будет путем, ну или iptables настрой должным образом.

ссылка удалить спам редактировать

ответил Jan 31 '11

romariosar

588 ● 93 ● 11 ● 44
http://www.webunix.ru/

подбирают доступ к SIP

7 Ответов

Comments

Comments

Comments

Ваш ответ

Закладки и информация

Статистика

Похожие вопросы: