А так ли нужен SBC

[mikelog]

День добрый. Ситуация у нас интересная, нас добровольно-принудительно наталкивают на покупку SBC AudioCodes, собственно вопрос, если Астериск не общается в публичном интересне ни с кем, кроме хоста провайдера, причем На астере на публичные IP рисуется маршрут host_ip|32 via public_eth
Так же стоит IP tables с дропать все что:

Код: Выделить всё

6        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060 STRING match "sipcli" ALGO name bm TO 65535
7        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060 STRING match "sipvicious" ALGO name bm TO 65535
8        0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5080 STRING match "friendly-scanner" ALGO name bm TO 65535
9        3  1364 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060 STRING match "friendly-scanner" ALGO name bm TO 65535
10       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060 STRING match "VaxSIPUserAgent" ALGO name bm TO 65535
11       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060 STRING match "friendly-scanner" ALGO name bm TO 65535
12       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5080 STRING match "friendly-scanner" ALGO name bm TO 65535
13       0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5060 STRING match "friendly-scanner" ALGO name bm TO 65535

разрешение коннектов от прова
правило по умолчанию, drop any from any to any
Вот мне интересно, что нам даст SBC в данном контексте? Спрашивать у принудителей смысла нет, так как у них есть пример другого филиала, который хз как но умудрила 1.2 млн трафика пропустить по SIPу, что было и как было история умалчивает, но это контраргумент принудителей.

[ded]

Если бы я был продавцом SBC, то я одной рукой бы хакал Астериски нерадивых недоадминов, а другой бы рукой - продавал SBC.
Помните рассказ о стекольщике и его малолетнем сыне, который бегает стёкла бъёт, а потом папа ходит по улицам?

[vlego]

День добрый. Ситуация у нас интересная, нас добровольно-принудительно наталкивают на покупку SBC AudioCodes, собственно вопрос, если Астериск не общается в публичном интересне ни с кем, кроме хоста провайдера

Наверное, так рассуждать не совсем корректно по отношению к SBC. Речь может идти о дополнительных сервисных возможностях, о совместимости, о надежности, сетевой безопасности, горячей замене и т.п. Другое дело то, что Вы не являетесь провайдером и зачем вам этот весь "огород" ? На сколько это оправдано и каков процент использования ? http://synapsecom.ru/solutions/audiocodes-e-sbc
Если Вы увидите, что то - ну очень нужное (и деньги есть), а почему бы и нет.

[mikelog]

нет не помню, точнее и не знал, с недоадминами все и так понятно. Меня интересует что такое лютой могут сделать, чтобы заломать астер за iptasles, которые никому кроме хостов прова не дают коннекта на порт сипа Астера? ну это помимо стандартный действий по запрету анонимных звонков и authreject ?
пробовал sipvicius из вне на свой астер травить, ничего не нашлось =) ну тупо коннекшин тайм аут

[vlego]

А почему Вы так уверены, будут ломать со стороны провайдера ? Пройдет время, появится еще некое соединение со стороны локальной сети в интернет, про свои настройки Вы или уже не Вы - забудете...
Ставьте в настройках экст-на permit на сетку или конкретный адрес аппарата. Чуть чуть больше уверенности будет.

Только путать эти задачи с применением полноценного SBC не стоит - методы защиты несколько разные. Если, у Вас вопрос только по безопасности - так настроек OS и * - вполне достаточно. И опять же -- что есть достаточно... на какое то время, а следить все равно придется.... Время идет и методы взлома меняются.

[mikelog]

Астериск у нас не принимает подключения от пользователей, он работает как транзит по SIPу ну и выполняет некоторые функции, которые в других решениях мы реализовать не смогли.

[vlego]

Вопрос, был про целесообразность применения SBC не так ли ? Приличные SBC, производят анализ содержимого VoiP пакетов (качество голоса) в т.ч. и для безопасности - на это требуются аппаратные ресурсы. Вы пишете, про использование iptables для защиты сетевого соединения point-to-point до провайдера (без анализа содержимого голосового пакета).
И ? Вы, не видите разницу ?

[mikelog]

Я понимаю, что он лезет в протокол, смотрит его, но все что связано с взломом астера дальше эксплойтов версии и подбором паролей, а так же анонимными звонками(если они не запрещены) не уходило. Вот мне и интересно стало, насколько штатных средств достаточно, просто AudioCodes это и защита, но и как показала практика одного из филиалов и точка отказа, 2 они не могли победить проблему с хождением звонков, а вы выступаете как представитель компании продающей SBC или использующие?

[vlego]

1) Нет.
2) SBC <> iptables это как пушка и воробей.
3) Вам это не надо в вашей ситуации.
4) Если не интересен смысл применения, зачем задавать подобный вопрос на форуме ?

Наверное такой ответ лучше.

[mikelog]

Вопрос был задан с целью понять насколько действительно это необходимая и важная штука SBC и насколько он необходим в нашем случае, а так же узнать чей-нибудь опыт использования таких пушек при стрельбе по воробьям...
Учитывая, что SBC у нас это уже как минимум обязательно, то может быть в скором будущем поделюсь уже своим опытом, насколько оно было необходимо и как нам "облегчило" жизнь =)

в любом случае спасибо за информацию.