Browse Category

IP-телефония

Безопасность Asterisk, защита от сканирования портов

Приветствую!

Была задача объединить Dlink FXO и Asterisk. Все было сделано успешно встал вопрос о безопасности Asterisk.

  1. установили и настроили fail2ban
  2. закрыли доступ к веб серверу из вне точнее доступ по паролю
  3. запретили анонимные звонки

Вот вроде и все, fail2ban успешно ловит по правилу. Но настигла меня участь попасть под сканеров. В логе asterisk валились сообщения:

Timeout on a1ba91d3db3d751eb98dca1f0830407d on non-critical invite transaction.

либо

chan_sip.c: Failed to authenticate device 4006<sip:4006@My_IP>;tag=cfac1d5d

Естественно fail2ban здесь не помощник, надо на сетевом уровне смотреть кто такой. Выполняем в консоли asterisk sip show channels и видим некий IP который нам шлет INVITE как guest.

Посмотрели tcpdump что в заголовках и добавили в iptables правила:

-A INPUT -p udp -m udp —dport 5060 -m string —string «sipcli» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sip-scan» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «iWar» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sipvicious» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sipsak» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «sundayddr» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «VaxSIPUserAgent» —algo bm —to 65535 -j DROP
-A INPUT -p udp -m udp —dport 5060 -m string —string «friendly-scanner» —algo bm —to 65535 -j DROP

Ну вот и все решение проблемы с защитой SIP порта от сканирования. iptables просматривает пакеты и если видит в них заголовки сразу отбрасывает их.

Теперь как только вижу подозрительные сообщения, смотрю заголовки через tcpdump и добавляю правила.

Коллеги решили основательно взяться за IP-телефонию на базе Asterisk.

Коллеги решили основательно взяться за IP-телефонию на базе Asterisk.

Покумекав и решив, а почему бы не сделать сайт самим же справку на базе Joomla. Сайт будет в основном как справочная система для себя и Наших клиентов.

Как итог можно глянуть http://ip-asterisk.ru/

Случайно наткнулся на работе на Quintum Tenor AXG800 / Quintum A800

Случайно наткнулся на работе на Quintum Tenor AXG800 / Quintum A800…

Шлюз Tenor AXG800 VoIP Gateway — даёт возможность извлекать выгоду из технологии IP-телефонии (VoIP). В одном решении Tenor объединены шлюз, привратник и интеллектуальная маршрутизация вызовов, с поддержкой качества сервиса (QoS).
Благодаря многомаршрутной архитектуре MultiPath, Tenor AXG800 подключается к сети передачи данных через интерфейс Ethernet 10/100, к телефонной сети — через офисную АТС или телефонный аппарат; также предусмотрено подключение к коммутируемой телефонной сети общего пользования (PSTN).
Запатентованная технология SelectNet™ обеспечивает высокое качество звука.
При подключении к этим сетям для контроля стабильности, потерь пакетов и задержек в разговорном тракте Tenor AXG800  использует собственную запатентованную технологию SelectNet™, и, при необходимости, имеет возможность в середине разговора, без прерывания, переключаться с IP-сети на телефонную сеть и обратно.
Более высокий уровень интеллекта означает большую гибкость. Благодаря маршрутизации вызовов по технологии MultiPath, для достижения наилучшего сочетания цены и  качества, Tenor AXG800 может интеллектуально направлять вызовы между телефонным аппаратом или офисной АТС с одной стороны, и PSTN или IP-сетью с другой стороны. Для снижения стоимости разговоров Tenor AXG800 может направлять вызовы через IP-сеть, после чего прозрачно вернуться в PSTN, чтобы установить соединение с абонентами вне VoIP-сети. Такую гибкость не обеспечивает никакое другое VoIP решение. Более высокий уровень интеллекта означает более легкий ввод в действие. Благодаря архитектуре MultiPath, Tenor AXG800 является единственным VoIP решением, которое может быть установлено без изменения или усовершенствования существующих телефонных сетей, офисных АТС и сетей передачи данных. Более высокий уровень интеллекта означает более высокую надежность. Tenor AXG800 cпроектирован таким образом , что в случае отказа системы, даже при полном сбое питания, вызовы направляются через существующую телефонную сеть. Более высокий уровень интеллекта означает меньшую перегрузку сети. Благодаря технологии PacketSaver™, Tenor AXG800 уменьшает загруженность IP-сети до 57%, посредством соединения голосовых пакетов нескольких вызовов в один, тем самым уменьшая объем передаваемой информации. Эта опция предлагается отдельно и не входит в базовый комплект поставки. Интеллектуальные способности NATAccess™ означают более высокую безопасность
Отличительным признаком Tenor VoIP MultiPath Switch также является уникальная технология, которая позволяет работать за NAT-брандмуерами с разрешением трансляции сетевых адресов. Технически прогрессивное решение NATAccess™ снимает проблему NAT-брандмауеров, которые при установлении соединения с внешним абонентом часто неправильно транслируют внутренние IP-адреса в публичные адреса. Основные возможности voip шлюза Tenor AXG800:
  • Автоматическое определение типа вызова: голос/модем/факс
  • Контроль за ответом и разъединением
  • Поддержка групп соединительных линий
  • Поддержка публичных и частных систем нумерации
  • Поддержка программируемой системы нумерации
  • Автоматическое уравновешивание нагрузки
  • Принудительная маршрутизация
  • Поддержка пропускания вызовов на номера 800, 911, 411 и.т.п.
  • Автоматическое присоединение и исключение цифр из набранных номеров
  • Регистрация телефонных вызовов с начислением платы за переговоры
  • Доставка номера вызывающего абонента CLIP (GR-30-CORE)
  • Технические характеристики Tenor AXG800:
  • Технические характеристики VoIP сети:
  • Интегрированный шлюз и привратник в соответствии с протоколом H.323 v.3
  • SIP агент
  • Поддержка сервера IVR/RADIUS для стандарта биллинга AAA
  • Маскирование тишины и генератор комфортного шума
  • Адаптивный буфер дрожания частоты
  • Компенсации потери пакетов
  • NATAccess™
  • Фильтрация IP
  • Технические характеристики телефонной части:
  • Алгоритмы кодирования речи: G.723, G.711 и G.729ab; G.726
  • Поддержка факса: T.38 и группа III со скоростью 2.4, 4.8, 7.2, 9.6, 14.4 Kбит/с
  • Модем через IP
  • Интерфейс: 2, 4 FXS и/или FXO
  • Законы кодирования: закон A, закон µ
  • Улучшенная эхокомпенсация рекомендация ITU. G. 168, время задержки до 128 мс
  • Протоколы передачи сигналов по абонентской линии: занятие по петле (Loop Start) и переполюсовка
  • Конфигурация / Администрирование:
  • Централизованная подготовка к работе и администрирование
  • Основанный на Web графический интерфейс пользователя (GUI)
  • Агент протокола SNMP v2
  • Выявление и оповещение аварийных ситуаций/неисправностей
  • Интерфейс командной строки
  • Удаленный доступ к сети Telnet
  • Технические характеристики IP сети:
  • Интерфейс сети LAN: 10/100 Mбит/с Ethernet
  • Стандартный интерфейс RJ-45 (IEEE 802.3) для соединений 10 Base-T и 100 Base-T
  • DHCP клиент
  • Поддержка качестава сервиса (QoS): IP TOS, DiffServ

Шлюз Tenor AXG800 VoIP Gateway — даёт возможность извлекать выгоду из технологии IP-телефонии (VoIP). В одном решении Tenor объединены шлюз, привратник и интеллектуальная маршрутизация вызовов, с поддержкой качества сервиса (QoS). Благодаря многомаршрутной архитектуре MultiPath, Tenor AXG800 подключается к сети передачи данных через интерфейс Ethernet 10/100, к телефонной сети — через офисную АТС или телефонный аппарат; также предусмотрено подключение к коммутируемой телефонной сети общего пользования (PSTN). Запатентованная технология SelectNet™ обеспечивает высокое качество звука.При подключении к этим сетям для контроля стабильности, потерь пакетов и задержек в разговорном тракте Tenor AXG800  использует собственную запатентованную технологию SelectNet™.

Linksys PAP2T

Аналоговый VoIP шлюз компактного исполнения Linksys PAP2T (Linksys).

Linksys PAP2T
Linksys PAP2T
Linksys PAP2T
Linksys PAP2T

Прикупил вчера, ибо есть своя IP телефония по довольно таки приемлемым тарифам. Большие плюсы: отличная связь, нет дисконектов как у Д-Линка. Ну еще бы все таки это аналог Cisco. Да и прославились они в основном как ведущий производитель оборудования для IP-телефонии. Минус только один, документации мало, поключил думал все как и стандартно, типо получение IP-адреса, или присвоение стандартного оказалось все не так просто. Надо подключить телефон к шлюзу и именно в тоновом режиме набрать **** далее переходим в голосовое меню на английском только языке данного девайса. И слушаем указания дяди у которого произношение хромает, но в принципе я с первого раза разобрал какой IP-адреес данное устройство себе присвоило… Да именно присвоило, ибо у девайса есть только DHCP клиент, сервера нету :lol: . И тут же говориться типо если хотиет отличить DHCP клиент перейдите туда то, бла-бла-бла. Я не стал этого делать и решил послушать что будет дальше, а дальше надо было активировать WEB-морду, в общем с минут 10 погулял по голосовому меню и активировал чо мне надо а дальше всю настройку делал уже через WEB-морду… Да и еще есть большой плюс, это чоткое разграничение прав доступа к данному девайсу.

В общем не смотря на минусы оценка моя, да и не только моя 5 с очень большими плюсами, все таки Cisco Corporation! Да тем более за такую стоимость всего навсего ориентировочная цена 2000 рублей. 8-)