Как безопасно высунуть asterisk в инетрент ?

0

2

Долгое время крутился астериск в локальной сети. К sip-провайдерам цеплялся по разрешенным в netfilter адресам. От остального интернет был изолирован. Понадобилось подключать несколько мобильных клиентов. VPN - отличный вариант, но не в данном случае, ибо заставить делать дополнительные движения этих клиентов нереально. Натить порты напрямую на sip-сервер рассматриваю как крайний, и нежелательный вариант. Что ещё можно засунуть между интернет и СИП-сервером для обеспечения связью внешних клиентов ? SIP-прокси можно заточить для этих целей ? У меня весьма поверхностные знания в этой области.

Заранее спасибо !

Ссылка

←	Как вам больше нравится раннер?

vim бажит запуск внешней программы с команд режима (Windows)

→

Попробуй Kamailio.

Если вопрос только в безопасности, то fail2ban, SIP over TLS, SRTP...

Turbid ★★★★★
(24.04.17 09:03:09 MSK)
Последнее исправление: Turbid 24.04.17 09:13:01 MSK (всего исправлений: 2)

Ссылка

Просто настрой fail2ban.

ptah_alexs ★★★★★
(24.04.17 09:46:42 MSK)

Ссылка

Как уже написали: fail2ban, SIP over TLS, SRTP

Плюс настроика sip.conf:

alwaysauthreject=yes - всегда отвечать «неправильный пароль»

useragent=Asterisk PBX - не показывать версию Астериска

domain=yourhostname.ru - разрешить регистрацию, только если в заголовках указан реальный домен. В основном перебором пользуются и регистрируются на IP.

allowguest=no

Для всех «немобильных» пиров задать acl по IP.

call-limit=2 каждому мобильному пиру. Если даже взломают, чтобы много не назвонили

Поотключать все ненужные модули для неиспользуемых протоколов, типа SCCP. Ну и сложные пароли...

~~paganmind~~ ★
(24.04.17 10:42:44 MSK)

Ссылка

Один из вариантов - вывесить в интернет нестандартный порт. Клиентам его указать не проблема, а от автоперебора постоянного спасет.

keir ★★
(24.04.17 11:03:41 MSK)

Ссылка

эту тему обсасывали уже тысячи раз на различных ресурсах. как минимум следующие ссылки

http://www.ipcomms.net/blog/70-11-steps-to-secure-your-asterisk-ip-pbx

http://blogs.digium.com/2009/03/28/sip-security/

еще от себя - поставь нестандартный realm чтоб не светить что это именно астер.

ну и все что написали выше - fail2ban, kamailio. По поводу SIP+TLS и SRTP - хз. это не вся оконечка умеет, а некоторая умеет коряво. есть шанс набрать себе геморрой на задницу. хотя вещь безусловно полезная. геморрой лечится выпуском краткой инструкции с перечислением поддерживаемого софта/оборудования. Типа «если вы юзаете родной ведроидный сип вместо зойпера, то вы ссзб и я вам помогать не буду».

upcFrost ★★★★★
(24.04.17 13:14:01 MSK)

Ссылка

Всем спасибо. Не буду, значит, усложнять - проброшу порты снаружи к астериску, с учетом рекомендаций.

По поводу клиента - зойпер этим пользователям перебор будет. CSip simple - был бы в самый раз. Как он в бою ? Есть у кого опыт ?

ovax ★★★
(25.04.17 10:29:46 MSK) автор топика

Ответ на: комментарий от ovax 25.04.17 10:29:46 MSK

В бою устроила только Bria на 100% на iPhone (да, платная, но цена копеечная). И если мобильные сети, тогда нужно использольвать tcp или tcp+tls.

Zoiper не сигнализировал о вызовах, когда работал в фоне (iPhone), а на Андроиде отлично работал и встроенный sip-клиент (не помню с какой версии появился). Лучше, чем CSip simple, по крайней мере.

~~paganmind~~ ★
(25.04.17 11:19:39 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как вам больше нравится раннер?

General

vim бажит запуск внешней программы с команд режима (Windows)

→

Похожие темы