Форум - Офисные АТС

[DFG]

Добрый день всем.
Есть схема связи, реализованная на OS7070 v 4_70 - см. прицеп.
К сожалению, системные администраторы, отвечающие за настройку D-Link DFL-210, по определенным причинам не участвуют больше в проекте, и DFL-210 исключается из схемы. Вместо него временно встает самый простой DIR-300.

В DIR-300 настраиваю проброс портов:
src port dst port type
21 21 TCP
30000-30015 30000-30015 TCP/UDP
5003,5090,5002 5003,5090,5002 TCP
1024-1028 1024-1028 TCP/UDP
6000,9000-9010 6000,9000-9010 TCP/UDP
5060-5064 5060-5064 TCP/UDP
схема работает (IP-телефоны в удаленном офисе, SIP - операторы), но при этом фильтр IP-адресов на роутере не настроен, т.е. эквивалентно тому, что АТС этими портами выставлена напрямую в интернет. Фильтр по IP можно настроить (диапазоны адресов у операторов фиксированы, в удаленном офисе тоже статический IP), но в планах у заказчика подключать софтфоны на андроидах (правая часть схемы, лицензии на сторонние SIP - телефоны), а там, понятно, IP- адреса могут быть любыми/

И вот тут возникают вопросы о сетевой безопасности:
1. Какие меры в такой схеме являются необходимыми и достаточными, чтобы избежать пролива SIP трафика через нашу систему? На мой взгляд, остается как минимум одно слабое звено - это сторонний SIP-софтфон на андроиде, поскольку здесь мы не можем фильтровать по IP ни на роутере, ни в белых списках на АТС. Только логин и пароль.
2. Насколько АТС устойчива к попыткам делать через нее транзитные вызовы по SIP (сomm exclusive = no response) ?
3. Можно ли разнести порты - для работы с SIP - транками, например, 5060, для работы с SIP - софтфонами назначить другой порт? Тогда хотя бы порт 5060 задвинем за фильтр.

Спасибо за комментарии и предложения.

#573

[LionB]

Я уже неоднократно наталкивался на обсуждения, как на раз ломается Wi-Fi и SIP оборудование D-LINK. Так, что поосторожнее.

1. Если взломать аккаунт и параметры регистрации на самом анроиде, то не защититься никак. Гипотетически можно и через сам андроид заворачивать в легальный аккаунт регистрации. Есть в системе Phone IP Wite list - только из этого списка IP могут поступать регистрации. Тогда хоть есть гарантия, что из "чужой сети" "украденные" аккаунты не зайдут, но, еще раз повторю, от "взломанного" хозяйского андроида это не поможет, если трафик пойдет через него самого. Ну, чтобы не было разных IP, в офис по VPN ходите.

4. Есть такая фича
A. Comm Exclusive :
i. None : Disable this function. OS system will allow all SIP calls.
ii. Response : OS System will not allow SIP calls from unauthorized IP to go through OS system via SIP trunk/Peering by sending deny message (403 forbidden)
iii. No Response : OS system will ignore all the SIP message from unauthorized IP address and block the relevant IP address. Beside, OS system blocks the IP address for specified period in case OS system gets wrong User ID or Password of an SIP phone several times when an SIP phone tries to register to system.

5. Сигнальный порт SIP Ext меняйте на здоровье. Ну, TLS еще можно поднять

[DFG]

Comm exclusive - установлено no response. И кстати варианта none нет, и значит, comm exclusive не повлияет на регистрацию SIP - телефонов (сторонних) с произвольных IP-адресов, ведь я не могу знать заранее, с какого IP ломанется софтфон на андроиде? (пока софтфоны не подключены).
Ну или VPN поднимать.

[Zavr2008]

Маниаки.. Dir300 и сетевая безопасность.
Во внешку нужно очень аккуратно вывешивать..

По уму бы наружу Астер поставить следовало, там настроить fail2ban и iptables по hitcount сообщений invite sip.
В астере бы жестко прописать что если с наружи и хакерье ломанет, чтобы не попасть на бабки..

В роутиках dlink кстати если они с родной прошивкой обязательно нужно отключать SIP ALG - там у них он кривой.

[Ave]

и значит, comm exclusive не повлияет на регистрацию SIP - телефонов (сторонних) с произвольных IP-адресов

Почему это не повлияет?

No Response : OS system will ignore all the SIP message from unauthorized IP address and block the relevant IP address. Beside, OS system blocks the IP address for specified period in case OS system gets wrong User ID or Password of an SIP phone several times when an SIP phone tries to register to system.

Тот же fail2ban по сути.

[LionB]

Тот же fail2ban по сути.

Эээ.. А как же без Астера то?

[DFG]

Отвечаю по порядку. Меня беспокоит вопрос о сетевой безопасности, но строго говоря, я не являюсь ни системным администратором, ни тем более специалистом в области безопасности сетей. В таких вопросах я предпочитаю сотрудничать с сетевыми администраторами заказчиков. Но иногда возникают ситуации, как описано выше, когда нужно просто поставить АТС за роутером. И все.
Dir-300 - это временное решение, и его нужно заменить, но на что? Что порекомендовать в ценовом диапазоне до $200 так, чтобы вышеописанная схема была достаточно безопасной?
Насколько эта схема безопасна в принципе?
Что касается comm exclusive - сможет ли стороннний SIP софтфон с легальным логином и паролем, но с произвольного IP-адреса, про который АТС ничего не знает (нет ни в каких списках), зарегистироваться и авторизоваться при установленном параметре сomm = no response ?

[LionB]

Что касается comm exclusive - сможет ли стороннний SIP софтфон с легальным логином и паролем, но с произвольного IP-адреса, про который АТС ничего не знает (нет ни в каких списках), зарегистироваться и авторизоваться при установленном параметре сomm = no response ?

Если в списке Phone IP Wite list не будет ничего, сможет откуда угодно.
Если в писке будет IP адрес (диапазон), то сможет только оттуда.

[Zavr2008]

Что порекомендовать в ценовом диапазоне до $200 так, чтобы вышеописанная схема была достаточно безопасной?

Можно Asus RT-N16 с dd-wrt порекомендовать. Там средствами iptables резать очень частые сообщения INVITE.

Сейчас еще респределенные сканеры стали делать, бомбят сразу с подсети особо не повторяясь..
Самое правильное средство - закрыть напрочь по наземке международку..

[DFG]

Самое правильное средство - закрыть напрочь по наземке международку..

Это уже сделано...