+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Защищайся от SIP-атак с помощью брандмауэра Mikrotik.

Защищайся от SIP-атак с помощью брандмауэра Mikrotik., RouterOS

Martijnscheffer

Guest

04.12.2013 11:30:00

Привет! Извините, я новичок на форуме, скажите, если я разместил эту тему не в том разделе. Я использую RB1200 v5.21 и пытаюсь настроить файрвол, чтобы блокировать нежелательный SIP-трафик / атаки на мой Asterisk-сервер, не блокируя IP-адреса моих настоящих клиентов. Пытался блокировать IP-адреса после 15 x content="SIP/2.0 401 Unauthorized" в течение определенного периода времени, но в итоге это также заблокирует и моих настоящих клиентов, так как SIP-трафик всегда отвечает content="SIP/2.0 401 Unauthorized" перед установлением соединения (также пробовал тот же метод с 403 Forbidden). Кто-нибудь знает хороший способ блокировать нежелательный SIP-трафик на Mikrotik Firewall, не блокируя IP-адреса настоящих клиентов? Также разрешать только IP-адреса клиентов не вариант, так как они берут свои VoIP-телефоны с собой в разные места. Спасибо, Martijn.

aaronhun22

Guest

10.01.2014 20:22:00

Я не могу отвечать за твою АТС, но знаю, что в Asterisk, когда теряется соединение SIP-расширения, оно не перерегистрируется при восстановлении соединения, потому что Asterisk уже знает IP-адрес входящего расширения. Соответственно, SPI твоего роутера не будет считать эти соединения новыми, поскольку они уже установлены.

sveno

Guest

13.08.2015 11:32:00

Большое спасибо за Great filters. Но у меня странная проблема: хоть правило отбрасывания в цепочке пересылки срабатывает и выдает 200 попаданий в секунду, пакеты все равно пересылаются и НЕ отбрасываются. Что может быть причиной?

aaronhun22

Guest

05.12.2013 00:11:00

Можно использовать SPI на новых соединениях с: /ip firewall filter add chain=forward in-interface=ether1-gateway src-address-list="SIP Hacker" action=drop
/ip firewall filter add chain=forward protocol=udp dst-port=5060 connection-state=new src-address-list="SIP Trial" in-interface=ether1-gateway action=add-src-to-address-list address-list="SIP Hacker" address-list-timeout=1d
/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=udp dst-port=5060 in-interface=ether1-gateway connection-state=new action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=00:00:15

Что это делает: отслеживает новые подключения к SIP-регистрации на порту 5060 и, если они не могут установить успешного рукопожатия с вашим SIP-сервером в течение 15 секунд (аутентификация должна занимать не более 3 секунд), их IP-адрес блокируется на 1 день. Это также работает с другими серверами, такими как SSH, FTP и т.д.

Martijnscheffer

Guest

05.12.2013 13:36:00

Привет, Aaronhun22. Я тестировал, и кажется, работает хорошо в небольшой тестовой среде. Теперь собираюсь внедрить это на наши основные роутеры. Я долго искал хорошее решение и перепробовал кучу всяких сложных вещей. А вот твой вариант кажется довольно простым, но при этом самым эффективным из всех. Большое спасибо, Мартийн.

Martijnscheffer

Guest

03.01.2014 15:02:00

К сожалению, после дополнительного тестирования выяснилось, что это не работает. Правило просто блокирует IP-адрес, если с одного и того же IP-адреса поступает второе подключение в течение 15 секунд (несмотря на регистрацию). Если клиент попытается зарегистрировать 2 или более SIP-устройств одновременно, его IP-адрес будет заблокирован. Буду рад любым другим предложениям.

aaronhun22

Guest

09.01.2014 00:19:00

Можно изменить таймаут на значение больше 15 секунд. И ещё, если уже зарегистрирован номер телефона к одному IP, то при попытке регистрации с нового IP начнется новый 15-секундный период ожидания. Как ты и говорил, подключения блокируются только во время этого 15-секундного периода. 15 секунд – это довольно долго, ведь регистрация обычно занимает всего 3 секунды на устройство.

Martijnscheffer Guest	#8 0 09.01.2014 09:49:00 Окей, но у нас есть локации с более чем 20 sip-устройствами. Если роутер перезагрузится, они все попытаются зарегистрироваться одновременно, и IP точно заблокируется.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры