Добрый день. Стоит задача показать в мир sip протокол для разговоров но сделать это нужно безопасно. Используем Asterisk+freepbx Голос передается в зашифрованом виде SRTP, также будет использоватся TLS. В качестве клиента используется zoiper. В нем можно изменить стандартный порт 5060 на другой, но как быть с rtp? На сколько я знаю он работает от 1000-2000, можно ли как то определить жестко? Не хочется открывать в мир весь диапазон портов, какие есть способы обезопасится кроме VPN?
можно rtp.conf
rtpstart=10000
rtpend=20000
Еще за наглость простите, но все же, нашел ссылочку по настройке zrtp https://github.com/antonraharja/book-asterisk-101/blob/master/book-contents/en/Chapter_05/Secure-Calling.md#zrtp Сделал как написано, установил на телефон zoiper включил в нем zrpt становлюсь wireshark выжу что zoiper говорит ZRTP-Hello но дальше идет простой RTP трафик, и все прекрасно слушается. Что не так? Кто то пробовал работать с ZRTP он работает?
testsia (Oct 2 '15)editЗадан: Sep 25 '15
Просмотрен: 635 раз
Обновлен: Sep 25 '15
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
Если Вы можете настроить SRTP и TLS, то как Вы можете задавать такие вопросы !?!?!?!?
amonra (Sep 25 '15)editпорты rtp как раз вполне безопасно открывать. ибо res_rtp ничего не пробрасывает пока не получит указания от sip канала. и вообще очень простой - маловероятно иметь там баг. а вот сип порт. а тем более tls(который редко используется)...
meral (Sep 26 '15)editНо можно вить сип порт сменить на какой то другой скажем zoiper умеет менять стандартный порт. А что с TLS? Вы хотите сказать что он привлечет внимание?
testsia (Sep 28 '15)editможно. меняйте. только это не сильно поможет - сканеру портов задачи на минуту.tls использутеся сильно меньше. значит потенциально в нем сильно больше багов. правильно - ставить iptables -j LOG с ratelimit и банить.
meral (Sep 28 '15)editЯ так полагаю нужно пилить Fail2ban и не заморачиватся. Но вот как сканер портов узнает что порт 15464 насамом деле является 5060?
testsia (Sep 28 '15)editfail2ban не логирует звонки. он реагирует на логи. если вам интересно как(хотя это тривиально) почитайте код sipvicous например.
meral (Sep 28 '15)edit