Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

подбирают доступ к SIP

3

Всем привет. У меня логи показывают, что кто-то подбирает пароли к SIP для моего астериска.

Как запретить доступ через IPFW ? Вроде прописал правила, но не помогает. Вот такое правило даже не помогает... или я с портом что то путаю.... ipfw add 1000 deny all from any 5060 to any 5060

Как проверить тот порт я перекрываю или нет?

удалить закрыть спам изменить тег редактировать

спросил 2011-01-29 23:55:51 +0400

Krolist Gravatar Krolist
31 1 1 3

7 Ответов

4
  1. sip.conf: alwaysauthreject=yes
  2. sip.conf: у пиров ставим deny=0.0.0.0/0.0.0.0, permit=192.168.0.0/16 скажем если он - внутренний, удобно через шаблон
  3. fail2ban: http://my-debian.blogspot.com/2010/04/asterisk-fail2ban.html
  4. в диалплане явно указать что звонки на всякие левые страны идут в сад :) Должно помочь от звонков на Кубу - кста я непрочь туда и слетать :)
ссылка удалить спам редактировать

ответил 2011-01-30 13:32:10 +0400

Zavr2008 Gravatar Zavr2008 flag of Russian Federation
2886 11 9 40
http://mh.otx.ru/

обновил 2011-01-31 15:55:36 +0400

Comments

еще если совсем уж паранойа подгребает, поставить OpenSips отдельно .. Кста: на АстриКоне последнем во всех докладах народ долбил, НЕ СТАВТЕ ПАСС АНАЛОГИЧНЫЙ НОМЕРУ ЭКСТЕНА :))))) Zavr2008 ( 2011-01-30 13:33:18 +0400 )редактировать
а если это телеком компания, продающая транзитный трафик? и на кубе есть партнеры? erizo ( 2011-01-31 19:44:34 +0400 )редактировать
ну тогда п.4 думаю излишен, я написал в расчете на корп юзеров.. Тогда, наверное, стоит поставить скажем софт Меры сверху и сетку астеров для терминации в отдельные страны, часть астеров не хостингах... Ну и на самих астерах прописать жестко пиры.. Опять же тогда встают еще вопросы по связке с биллингом и еще куча всего.. Zavr2008 ( 2011-02-01 01:06:51 +0400 )редактировать
OpenSips для подобных целей наверное в тему.. Играюсь с ним сейчас Zavr2008 ( 2011-02-07 21:38:59 +0400 )редактировать
3

Почему вы ограничиваете исходящий порт 5060? Инициирование сессии может произойти с любого порта. Ну а конечный, тот который у вас указан в sip.conf.

Другими словами попробуйте:

ipfw add 1000 deny all from any to any 5060

Предварительно разрешите доступ с тех хостов, доступ с которых разрешен.

ссылка удалить спам редактировать

ответил 2011-01-30 00:14:51 +0400

ags Gravatar ags
41 1 2 4
http://buteo.ru/

обновил 2011-01-30 00:17:01 +0400

2

http://it-kub.ru/articles/bezopasnostasterisk.html - здесь есть перевод статьи Кэрри Гаризона по безопасности Asterisk

ссылка удалить спам редактировать

ответил 2011-02-18 15:33:14 +0400

Vit Gravatar Vit
41 4 6
0

Не совсем в тему, но может окажет помощь. Неплохая статья по основам защиты сервера телефонии, правда, только для тех, кто "дружит" с английским: http://nerdvittles.com/index.php?p=580

ссылка удалить спам редактировать

ответил 2011-02-02 16:22:56 +0400

Ankabut Gravatar Ankabut
31 3 2 6

обновил 2011-02-02 16:24:13 +0400

0

Самый простой, но очень эффективный метод, просто поменять порт с 5060 на какой нибудь не стандартный , скажем 25060. Этого уже вполне достаточно что защитится от тупых ботов.

ссылка удалить спам редактировать

ответил 2011-02-18 15:53:07 +0400

forsage Gravatar forsage
26 1 4

обновил 2011-02-18 15:54:06 +0400

Comments

Зато плохо в этом случае для тех, кто на вход звонит. Не у всех фаерволы все порты пробрасывают. Zavr2008 ( 2011-02-22 03:45:08 +0400 )редактировать
0

а если парсить лог файл каким-либо скриптом и добавлять ipfw/iptables ?

ссылка удалить спам редактировать

ответил 2011-02-20 19:56:00 +0400

um2010 Gravatar um2010
2056 70 13 55

Comments

1
fail2ban уже делает подобное в реальном времени svoy ( 2011-02-21 11:20:18 +0400 )редактировать
0

в файл: sip.conf

пропиши: alwaysauthreject = yes

и поставь на все экстеншены пароли типа sadkj@$&FD122FGB

тогда все будет путем, ну или iptables настрой должным образом.

ссылка удалить спам редактировать

ответил 2011-01-31 13:05:51 +0400

romariosar Gravatar romariosar flag of Russian Federation
588 93 11 44
http://www.webunix.ru/

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку
1 закладка

подписаться на rss ленту новостей

Статистика

Задан: 2011-01-29 23:55:51 +0400

Просмотрен: 2,575 раз

Обновлен: Feb 20 '11

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.