asterisk.ru

Вы становитесь мастером по теме SIP безопасность.
И это уже не вопросы новичков!

Ну если звонки прекратились только из-за переноса на нестандартный порт - то есть большие подозрения что какая-то дыра (например в диалплане) все-таки осталась...

ertaquo писал(а):на стандартном 5060 оставил ловушку-honeypot

Ага, хорошая мысль, у себя использую вариацию на тему:
- у меня в использовании /23 сетка реальных айпишников. На центральном маршрутизаторе стоит правило, добавляющее в баню на месяц тех, кто пытается обратится на 5060 порт к айпишникам где заведомо нет VoIP оборудования (шлюза по умолчанию, неактивные IP и т.д.)
Тоже список такой недетский, порядка тысячи айпи доступен...
Подумываю на основании этого какую-нибудь распределенную систему типа такой
http://habrahabr.ru/post/248033/
замутить...
Чтобы на можно было собираемый у себя блеклист использовать на маршрутизаторах/PBX'ах вне своей сети (а таковых тоже предостаточно)...
Ну и может в перспективе полупубличный сервис - где все желающие смогут как минимум скачивать с меня актуальный список айпишников зловредов...
Сдерживает то, что я в PHP гораздо ниже нуля по Кельвину а готовые скрипты, которые могли бы:
- добавить айпишник в MySQL-базу при обращении на определенный урл
- сформировать из базы список айпишек который можно было бы сохранить как текстовый файл
- раз в сутки прошерстить базу на предмет удаления айпишек добавленных более месяца назад
- удалить из базы по ошибке попавший туда айпишник
все как-то не попадались. Хотя подозреваю что каждый из таких скриптов 10-20 строк кода максимум...

SolarW писал(а):в перспективе полупубличный сервис

А мы сделали публичный сервис: http://frod.subnets.ru/
Если нужно доработать на выдачу списка ипов - не проблема.

Что будете делать , когда нестандартный порт просканируют на предмет SIP сигнализации?

Ну... Ловушку я повесил еще на несколько портов. Если кто-то будет сканировать порты перебором - обязательно напорется.

Не прошло и (почти) года как народ начал шевелиться помаленьку после того как появилась темка на наге.

У меня давно стоят ловушки - причем интереснее когда у тебя есть белая IP подсеть.
Обычно сканеры дубасят по порядку все IP - ставишь на отлов этих умельцев, пока до нужного IP доберуться их уже забанили)
На Микротике это делается просто элементарно.

Zavr2008 писал(а):У меня давно стоят ловушки

Мы делали ловушки в виде скрипта, который эмулирует ответы SIP-сервера
"Хакерюгам" нравилось общаться с ботом )) Он им и process и ringing и SDP, вообщем все прелести сразу
А они то и рады сразу стараться, мол "ура! взломал!". Но радость обычно быстро проходит, когда они наконец осознают что это не так

+100500

Еще стоит добавить и RTP ответный с записью: "Вы позвонили в ФСБ Российской Федерации"

За такое могут и наказать
Я иногда проигрывал проще: "А ну ка пШел на х.. отсюдаВА". Не редки были случаи когда после этого с той стороны сразу же все прекращалось. Русские там точно есть ))