asterisk.ru

Возможно ли не отсылать пакеты при неправильных авторизованных данных, так сказать клиент посылает пакет с регистрацией, а мы в случае неправильных авторизационных данных не шлем ему forbiden или bad auth ?
В таком случае само наличие АТС на IP адресе будет вычислить не реально и соответственно сканировать и пытаться подобрать пароль смысла по мнению злоумышленников не будет.

Вы скажите зачем это надо ведь есть fail2ban, и тд.
Но если взломать АТС злоумышленнику не удается, он может устроить DOS атаку, и в данном случае сервер остается работоспособным, но с провайдера пишут о том что на вас много идет трафика и мы вынуждены вас отключить и тд.

Самим Asterisk так не получится, но если спроксировать трафик до него, то можно. В кач-ве proxy можно использовать Kamailio например.

Так же можно применить firewall и разрешить пакеты только с доверенных хостов. Если есть удаленные звери с динамическим IP, то либо разрешить весь пул ипов их провайдера, либо поднять VPN и пускай подключаются через VPN.

P.S. DDoS атаку могут устроить и без выяснения чего либо.

Вообще - лучшая защита от сканирования - пропускать пакеты только с доменом(не IP-адресом) в RURI. Если постараться, можно попробовать сделать такую фильтрацию на IPtables, но Kamailio получше будет.

virus_net писал(а):Самим Asterisk так не получится, но если спроксировать трафик до него, то можно. В кач-ве proxy можно использовать Kamailio например.

Так же можно применить firewall и разрешить пакеты только с доверенных хостов. Если есть удаленные звери с динамическим IP, то либо разрешить весь пул ипов их провайдера, либо поднять VPN и пускай подключаются через VPN.

P.S. DDoS атаку могут устроить и без выяснения чего либо.

Большое спасибо сел Kamailio изучать, по поводу firewall, это все понятно и отфильтровано, но не всегда есть возможность ограничить по регионам, иногда должно работать со всего мира.
По поводу VPN, внедряется на основе openVPN, но пока всех перевести нет возможности.
По поводу DOS, вопрос философский.

Что мешает дропать все кроме телефонов ?
Собрали статистику User-Agent, остальных в DROP

Вот так я борыть со сканерами
iptables -I INPUT -p udp --dport 5060 -m string --string "friendly-scanner" --algo bm -j DROP

Сделайте в обратную сторону
iptables -I INPUT -p udp --dport 5060 -m string --string "FPBX-12.013(11.13.0)" --algo bm -j ACCEPT

Никто не мешает, fail2ban отлично справляется и проблем нет, тут вопрос чисто теоретический, а по поводу статистики, сегодня к примеру SIP клиент находиться в Китае, а завтра в Японии, это не наш вариант.

С DOS Атаками на АТС сталкивался крайне редко, а вот когда помогал админить сервер WOW TBC (верните мой 2007) там это было частое явление, обиженные баном игроки и конкуренты как говориться помогали.