Возможно ли не отсылать пакеты при неправильных авторизованных данных, так сказать клиент посылает пакет с регистрацией, а мы в случае неправильных авторизационных данных не шлем ему forbiden или bad auth ?
В таком случае само наличие АТС на IP адресе будет вычислить не реально и соответственно сканировать и пытаться подобрать пароль смысла по мнению злоумышленников не будет.
Вы скажите зачем это надо ведь есть fail2ban, и тд.
Но если взломать АТС злоумышленнику не удается, он может устроить DOS атаку, и в данном случае сервер остается работоспособным, но с провайдера пишут о том что на вас много идет трафика и мы вынуждены вас отключить и тд.
Допольнительная защита от сканирования.
Re: Допольнительная защита от сканирования.
Самим Asterisk так не получится, но если спроксировать трафик до него, то можно. В кач-ве proxy можно использовать Kamailio например.
Так же можно применить firewall и разрешить пакеты только с доверенных хостов. Если есть удаленные звери с динамическим IP, то либо разрешить весь пул ипов их провайдера, либо поднять VPN и пускай подключаются через VPN.
P.S. DDoS атаку могут устроить и без выяснения чего либо.
Так же можно применить firewall и разрешить пакеты только с доверенных хостов. Если есть удаленные звери с динамическим IP, то либо разрешить весь пул ипов их провайдера, либо поднять VPN и пускай подключаются через VPN.
P.S. DDoS атаку могут устроить и без выяснения чего либо.
мой SIP URI sip:virus_net@asterisk.ru
bitname.ru - Домены .bit (namecoin) .emc .coin .lib .bazar (emercoin)
ENUMER - звони бесплатно и напрямую.
bitname.ru - Домены .bit (namecoin) .emc .coin .lib .bazar (emercoin)
ENUMER - звони бесплатно и напрямую.
Re: Допольнительная защита от сканирования.
Вообще - лучшая защита от сканирования - пропускать пакеты только с доменом(не IP-адресом) в RURI. Если постараться, можно попробовать сделать такую фильтрацию на IPtables, но Kamailio получше будет.
Мой профайл на Upwork
Re: Допольнительная защита от сканирования.
Большое спасибо сел Kamailio изучать, по поводу firewall, это все понятно и отфильтровано, но не всегда есть возможность ограничить по регионам, иногда должно работать со всего мира.virus_net писал(а):Самим Asterisk так не получится, но если спроксировать трафик до него, то можно. В кач-ве proxy можно использовать Kamailio например.
Так же можно применить firewall и разрешить пакеты только с доверенных хостов. Если есть удаленные звери с динамическим IP, то либо разрешить весь пул ипов их провайдера, либо поднять VPN и пускай подключаются через VPN.
P.S. DDoS атаку могут устроить и без выяснения чего либо.
По поводу VPN, внедряется на основе openVPN, но пока всех перевести нет возможности.
По поводу DOS, вопрос философский.
Re: Допольнительная защита от сканирования.
Что мешает дропать все кроме телефонов ?
Собрали статистику User-Agent, остальных в DROP
Вот так я борыть со сканерами
iptables -I INPUT -p udp --dport 5060 -m string --string "friendly-scanner" --algo bm -j DROP
Сделайте в обратную сторону
iptables -I INPUT -p udp --dport 5060 -m string --string "FPBX-12.013(11.13.0)" --algo bm -j ACCEPT
Собрали статистику User-Agent, остальных в DROP
Вот так я борыть со сканерами
iptables -I INPUT -p udp --dport 5060 -m string --string "friendly-scanner" --algo bm -j DROP
Сделайте в обратную сторону
iptables -I INPUT -p udp --dport 5060 -m string --string "FPBX-12.013(11.13.0)" --algo bm -j ACCEPT
платный суппорт по мере возможностей
Re: Допольнительная защита от сканирования.
Никто не мешает, fail2ban отлично справляется и проблем нет, тут вопрос чисто теоретический, а по поводу статистики, сегодня к примеру SIP клиент находиться в Китае, а завтра в Японии, это не наш вариант.
С DOS Атаками на АТС сталкивался крайне редко, а вот когда помогал админить сервер WOW TBC (верните мой 2007) там это было частое явление, обиженные баном игроки и конкуренты как говориться помогали.
С DOS Атаками на АТС сталкивался крайне редко, а вот когда помогал админить сервер WOW TBC (верните мой 2007) там это было частое явление, обиженные баном игроки и конкуренты как говориться помогали.
