Безопасность Asterisk

достаточно и просто блокировки по --hitcount. Подбиральщикам не интересно Вас сканить года 2 =))))

ну и только зеленые ребятишки не поставят в sip.conf строчку alwaysauthreject=yes

Я бы поспорил насчет "2 года неинтересно" . с alwaysauthreject=yes и allowguest=no клиентам приходится делать вышеописанные процедуры.--hitcount не всегда подходит , так как интенсивность звонков может давать ложные срабатывания.

Ботам все равно сколько сканить и сколько раз их банят.

потомучто кому надо смотрят в фаерволе. это не задача астериска отслеживать аттаки. kiss всетаки.

выдергивать на файрволе ИП неудачной регистрации то еще занятие... никто не просит * отслеживать атаки, но писать в логи корректную инфу былоб замечательно по дефолту.

Да перебирают всё подряд и доменное имя тут вообще никакой роли не играет.

если в Астере стоит ограничение по домену и доменное имя в запросе REGISTER правильно не указано подборщиком то подбор не сработает - это же очевидно. не понимаю - зачем сразу минусовать если можно сначала подумать? обычно в destination запроса REGISTER или INVITE хакеры указывают ip адреса а не домен - просто потому что они как правило его не знают... или вы не в курсе возможностей Астериска по виртуальному хостингу АТС?

не переживайте, у вас еще есть чуток кармы. по теме - большинство сканнеров експлуатируют уязвимости. домена не помогут, но создают проблемы некоторым теелфонам.

большинство сканеров сыпят инвайтами на премиум направления в расчете на совсем уж зеленого админа у которого открыт международный транк законтаченный на контекст default (клиника) или бомбят запросами регистер тупо по словарю (таких атак довольно мало встречал). больше им ничего не надо. чтобы попасться таким нужно иметь совсем уж кривые руки... наверное только если узер введет пароль 12345 на учетке 12345 и файлтубан не успеет поймать... не говорю о переполнении буфера и прочие специфичные для конкретных версий софтсвича уязвимости или экзотика типа подделки адреса в SIP пакетах... на карму - пофиг :-) про проблему с телефонами - согласен... есть такое...

ну вам виднее,че.

Разрешаем доступ к 5060 только с ип провайдера и что ещё нужно? нужна динамика лепим VPN

octopas это не форум. это база знаний. если хочется повыяснять отношения - идите на базар. в ваших ответах основная проблема в том что 90% из них неверны. о чем читающий топик по ссылке из гугла не в курсе. офтопик буду удалять.

бред а не ответ - я поехал мля в Китай, пытаюсь через Bria зайти к себе - какое у мя там доменное имя - одному Будде известно! Допускать регистрацию извне от permit сети 0.0.0.0 нужно ЛИШЬ ДЛЯ АККОВ, КОТОРЫЕ ГУЛЯЮТ ПО МИРУ С ДИНАМИЧЕСКИМ IP!!! и там заренее НЕ ИЗВЕСТНО, ЧТО ЗА ПРОВ!!!

присоединяюсь к минусу.

а он не это имел вв виду. он имел в виду что вы испоользуете pbx_ru.mycompany.ru когда регистрируетесь. пробелема в том, что этот "эксперт" не учел что при использовании домена будут проблемы в астериске ниже 1.8 и с некоторомы софтфонами и телефонами в люой версиии.

эксперты без кавычек видимо всегда ставят в регистрации на телефонах IPшник, даже если используется DNS SRV, и меняющиеся IP через SRV запись. Нуну... Или "высоконагруженное" решение из 10 телефонов - это максимум на что сэр рассчитывает... какое уж там распределение нагрузки... Телефоны надо ставить те которые работают по стандартам и снести (или заапгрейдить) наконец устаревшее ПО - как совет...

конечно.а еще не ставить астриск успокойтесь,А? у меня достаточно инсталяций выше 1к пользователй.

ну да, в своем ответе чел малость показал своё незнание RFC SIP.. domain ставитца глобально на весь сервак. после этого извне ФИЗИЧЕСКИ уже не зайти НИКОМУ. чел видимо не в курсе про deny=0.0.0.0/0.0.0.0 и permit=216.207.245.47/255.255.255.255.... Коль уж зашла тема: http://www.voip-info.org/wiki/view/Asterisk+sip+permit-deny-mask

м. я бы не был так категоричен насчет одного domain/realm. в последних версиях чтото меняли.