Как корректно организовать защиту sip-сервера?

Доброго времени суток, уважаемые пользователи!

Прошу помощи в решении такой задачи:

Имеется voip-сервер. Для регистрации используется стандартный порт 5060. В целях безопасности в правилах iptables были запрещены запросы на порт 5060 с любых адресов. А также прописаны те ip-адреса, кому разрешено регистрировать и соответственно звонить через данных сервер. Адреса публичные и статические, да и их не так много, если быть честным.

Теперь беда в том, что есть клиенты, использующие динамические ip-адреса. Подскажите пожалуйста, по какому принципу было бы "пра'вильней" организовать доступ к серверу для таких клиентов?

1) Открывать доступ для всех адресов - мне бы не хотелось
2) Что, если создать правило в iptables, которое добавляет IP, если он упорно (определённое количество раз ~10 ) запрашивает регистрацию? Хотя мне кажется, что это "неправильный" костыль?
3) Или тут без VPNa никуда?

Буду рад Вашей помощи и правильному наставлению, как лучше организовать доступ для таких клиентов.
  • Вопрос задан
  • 3050 просмотров
Пригласить эксперта
Ответы на вопрос 3
Ernillew
@Ernillew
Администрирую *nix-системы с 1997 года
По тому что вы думали на тему второго пункта
www.opennet.ru/tips/info/2265.shtml
habrahabr.ru/post/194412
port knocking
Ответ написан
@tgz
Как вариант:
1. делаете отдельный sip сервер на отдельном ip и создаете там sip аккаунт без доступа куда-нибудь
2. Абонент регистрируется там отдельным логин-паролем
3. После этого добавляете его ip на рабочий сервер в белый список.
При всем зоопарке клиентсого софта и железа такой способ видится мне наиболее безгеморройным.
Ответ написан
@3ton
Я думаю правильнее было бы для начала определить какие методы взлома применяются для SIP.

По правде говоря с этим не сталкивался, но как и большинство остальных взломов - это дефолтные значения которые при установке и настройке не были сменены на свои. Есть же куча проектов с SIP телефонией и не думаю что они привязывают клиентов по IP.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы