Instaliran Asterisk na mašini koja se krije iza firewall-a (mašina u lokalnom lanu), Firewall računar je pod CentOS 6.4 što znači da je kernel 2.xx uradjen NAT spoljneg UDP porta 5060 na Asterisk kao i NAT opsega RTP portova.
Koje bi sve rulove u Iptables trebalo staviti da bi se zaštitio VoIP od neželjenih poziva.
Molim vas samo konkretne odgovore (ne linkove)
Moj primer:
Skupljao sam malo logove sa:
tcpdump -i ethX -vvv -n dst port 5060 -w /root/capture.log
ubacio sam neke ACL liste vezane za User Agenta: koje koristim (3CX, X-lite, Grandstream, Nokia302) sve ostalo sa ubio (što možda i nije pametno "vaše mišljene u vezi ovog" )
Uglavnom od tada se ne pojavljuju čudni upiti u Asterisk log fajlu tipa: [email protected] koji pokušava da nekog pozove.
Rulove sam ubacio u Iptables Mangle prerouting tabeli pre ikakvog rutiranja i to samo za new paket.
Chain SIP-Filter (1 references)
target prot opt source destination
DROP udp -- anywhere anywhere /* Drop Sipcli */ udp dpt:sip STRING match "User-Agent: sipcli" ALGO name bm TO 65535
ACCEPT udp -- anywhere anywhere /* Allow 3CX Phone */ udp dpt:sip STRING match "User-Agent: 3CXPhone" ALGO name bm TO 65535
ACCEPT udp -- anywhere anywhere /* Allow Grandstream */ udp dpt:sip STRING match "User-Agent: Grandstream" ALGO name bm TO 65535
ACCEPT udp -- anywhere anywhere /* Allow X-Lite */ udp dpt:sip STRING match "User-Agent: X-Lite" ALGO name bm TO 65535
ACCEPT udp -- anywhere anywhere /* Allow Nokia302 */ udp dpt:sip STRING match "User-Agent: Nokia302" ALGO name bm TO 65535
ACCEPT udp -- anywhere anywhere /* Allow Ekiga */ udp dpt:sip STRING match "User-Agent: Ekiga" ALGO name bm TO 65535
prvo sam gledajuci log ustanovio da se za ovakve napade u većini slučajeva koristi sipcli (User Agent: sipcli) dodao kao rule da ne puštam bilo kakav saobraćaj prema portu 5060 ako paket u sebi sadrži reč sipcli, naravno dodao sam rule pre toga da se prvo taj paket loguje kao VoIP-Napad
Tipičan kod:
INVITE sip:[email protected] SIP/2.0
To: 00972592513936<sip:[email protected]>
From: 200<sip:[email protected]>;tag=0d82d985
Via: SIP/2.0/UDP 37.8.41.112:10022;branch=z9hG4bK-2d619316ebad71f2cf24cceecf5e010b;rport
Call-ID: 2d619316ebad71f2cf24cceecf5e010b
CSeq: 1 INVITE
Contact: <sip:[email protected]:10022>
Max-Forwards: 70
Allow: INVITE, ACK, CANCEL, BYE
User-Agent: sipcli/v1.8
Content-Type: application/sdp
Content-Length: 280