Asterisk-Server vor SIP-Scannern und DoS-Attacken schützen
Hallo zusammen,
Fail2Ban kann den SIP-Server nicht gegen alle unerwünschten Eindringlinge schützen. Fail2Ban kann nur IP-Adressen blockieren, von denen mehrfach falsche Passwortabfragen kommen. Mit zusätzlichen Einträgen in Iptables, der Linux-Firewall, lassen sich Regeln erstellen, die DoS-Attacken blockieren und das Eindringen der wichtigsten SIP-Scanner verhindern. Mehr ist unter
ergebnisorientiert erklärt. Seit Tagen habe ich jedenfalls keine einzige Warnmeldungen mehr. Sollte dennoch ein SIP-Scanner nicht in der Blacklist stehen und versuchen anzugreifen, wird er entweder von Fail2Ban gesperrt oder von Iptabels, dessen Regeln DOS-Attacken abwürgen. Vom Server ungenutzte IP-Bereiche, von denen häufig SIP-Scanner agieren, sind ebenfalls komplett gesperrt.
Folgende Maßnahmen verwende ich:
1. Sicherheitsrelevante Einträge in der sip.conf unter [general] 2. Starke Passwörter der SIP-Accounts 3. Geheime PIN-Nummern für den Zugang in das öffentliche Netz 4. Fail2Ban zum Schutz gegen die wiederholte Eingabe falscher Passwörter 5. Eine Blacklist der Useragents häufiger SIP-Scanner in Iptables 6. Anweisungen in Iptables, die eine DoS-Attacke unterbinden
Die Verbindung der Asterisk-Server untereinander geschieht über das IAX2-Protokoll, das von SIP-Scannern nicht angegriffen werden kann.
Mein Asterisk-Server muss an 365 Tagen im Jahr 24 Stunden pro Tag ohne Unterbrechung verfügbar sein. Meine Teilnehmer sind inzwischen anspruchsvoll geworden und erwarten das.
Viele Grüße Volker
"Das Radio hat keine Zukunft." (Lord Kelvin, Mathematiker und Physiker (1824-1907))
!!!
Fotos, Grafiken nur über die
Upload-Option des Forums, KEINE FREMD-LINKS auf externe Fotos.
!!! Keine
Komplett-Schaltbilder, keine Fotos, keine Grafiken, auf denen
Urheberrechte Anderer (auch WEB-Seiten oder Foren) liegen! Solche Uploads werden wegen der Rechtslage kommentarlos gelöscht!
Keine Fotos, auf denen Personen erkennbar sind, ohne deren schriftliche Zustimmung.
Anmelden
