[ cerveni @ 10.06.2013. 20:05 ] @
Recimo da je scenario sledeći: Instaliran Asterisk na mašini koja se krije iza firewall-a (mašina u lokalnom lanu), Firewall računar je pod CentOS 6.4 što znači da je kernel 2.xx uradjen NAT spoljneg UDP porta 5060 na Asterisk kao i NAT opsega RTP portova. Koje bi sve rulove u Iptables trebalo staviti da bi se zaštitio VoIP od neželjenih poziva. Molim vas samo konkretne odgovore (ne linkove) Moj primer: Skupljao sam malo logove sa: Code: tcpdump -i ethX -vvv -n dst port 5060 -w /root/capture.log ubacio sam neke ACL liste vezane za User Agenta: koje koristim (3CX, X-lite, Grandstream, Nokia302) sve ostalo sa ubio (što možda i nije pametno "vaše mišljene u vezi ovog" ) Uglavnom od tada se ne pojavljuju čudni upiti u Asterisk log fajlu tipa: [email protected] koji pokušava da nekog pozove. Rulove sam ubacio u Iptables Mangle prerouting tabeli pre ikakvog rutiranja i to samo za new paket. Code: Chain SIP-Filter (1 references) target prot opt source destination DROP udp -- anywhere anywhere /* Drop Sipcli */ udp dpt:sip STRING match "User-Agent: sipcli" ALGO name bm TO 65535 ACCEPT udp -- anywhere anywhere /* Allow 3CX Phone */ udp dpt:sip STRING match "User-Agent: 3CXPhone" ALGO name bm TO 65535 ACCEPT udp -- anywhere anywhere /* Allow Grandstream */ udp dpt:sip STRING match "User-Agent: Grandstream" ALGO name bm TO 65535 ACCEPT udp -- anywhere anywhere /* Allow X-Lite */ udp dpt:sip STRING match "User-Agent: X-Lite" ALGO name bm TO 65535 ACCEPT udp -- anywhere anywhere /* Allow Nokia302 */ udp dpt:sip STRING match "User-Agent: Nokia302" ALGO name bm TO 65535 ACCEPT udp -- anywhere anywhere /* Allow Ekiga */ udp dpt:sip STRING match "User-Agent: Ekiga" ALGO name bm TO 65535 prvo sam gledajuci log ustanovio da se za ovakve napade u većini slučajeva koristi sipcli (User Agent: sipcli) dodao kao rule da ne puštam bilo kakav saobraćaj prema portu 5060 ako paket u sebi sadrži reč sipcli, naravno dodao sam rule pre toga da se prvo taj paket loguje kao VoIP-Napad Tipičan kod: Code: INVITE sip:[email protected] SIP/2.0 To: 00972592513936<sip:[email protected]> From: 200<sip:[email protected]>;tag=0d82d985 Via: SIP/2.0/UDP 37.8.41.112:10022;branch=z9hG4bK-2d619316ebad71f2cf24cceecf5e010b;rport Call-ID: 2d619316ebad71f2cf24cceecf5e010b CSeq: 1 INVITE Contact: <sip:[email protected]:10022> Max-Forwards: 70 Allow: INVITE, ACK, CANCEL, BYE User-Agent: sipcli/v1.8 Content-Type: application/sdp Content-Length: 280 |