asterisk.ru

Можете в настройках пира указать insecure=port,invite и готово)
Как только джентельмены из Сомали наткнутся на существующий у вас пир, смогут звонить куда угодно (в рамках диаплана)

Друзья все правильно пишите, протестировав на тестовом стенде, я нашел особенности где даже без опции insecure хватает странных форточек, притом сильно зависит от версии, притом более высокая и новая не факт что нормальная.
Единственно что реально защищало это deny/permit

Из этого сделал вывод:
Любую запись с статичным хостом защищаем deny/permit
С динамичным по возможности тоже. (локалка к примеру)
Если такой возможности нет, меняем порт, ставим различные ловушки на тот же 5060, чтоб всех недругов сразу в бан.
Если АТС используется в офисе, закрываем все лишнее фаерволом, у многих сисадминов видел такую странную вещь, АТС внутри сети за NAT но порт 5060 проброшен, на вопрос зачем, ответ, чтоб внешний провайдер лучше работал, притом сами просто зарегистрированы у него ......

Паранойя в нашем деле это конечно хорошо и вещь необходимая, но по факту, если вам не нужна международка, то все решается диалпланом. Это конечно же не руководство к действию и свою АТС надо держать в тепле и подальше от всяких
Но за последние лет 5 фриланса столько насмотрелся "настроенных" АТС доставшихся в наследие от "коллег", что просто глаза разбегаются насколько все открыто, сколько не то что переборов учеток, а уже вызовов с различными префиксами... но если нет МН, то похрен) Никто не будет по России сливать трафик.

Знаете что меня больше всего ввело в ступор в старых версиях asterisk

Вот к примеру Пир на оператора с статическим хостом

Код: выделить все

[OPERATOR]
host=88.88.88.88
dtmfmode=rfc2833
type=friend
nat=no
disallow=all
allow=ulaw
canreinvite=no
qualify=yes
context=in
deny=0.0.0.0/0.0.0.0
permit=88.88.88.88/255.255.255.255


Но стоит на него позвонить с указанием в поле from этого пира

Код: выделить все

From: <sip:OPERATOR@

вызов проскочит с любого IP, если убрать deny/permit, всегда думал что статический пир принимает сигнализацию только с своего указанного хоста, но оказалось я ошибался, никаких insecure нет....

Нужно понимать отличие type=friend от type=peer.
Если host=статический, type=peer, обычно как раз insecure=port,invite. Тогда он будет просто игнорировать все попытки авторизации по паролям.
Также понимать что опасен как раз host=dynamic - именно такие пиры и ищут сканеры.

По защите - все методы хороши - и ловля левых UserAgent, перенос 5060 выше и организация ловушки на 5060 на том же микротике (или даже если подсеть белая - целый IP в ловушку перед нужным), fail2ban, списки белые, серые и черные L7 в Микротике, закрытие ACL в Астере, выдача SIP на вход только для нужных IP итп. Это зависит от конкретной задачи и ситуации.

Узнал я про курсы от https://voxlink.ru 45т если заочно 7 дней, 35т 5 дней очно для жителей Москвы, думал коллегу записать, не дешево конечно.....

с type=peer тоже нужно быть аккуратней, ибо при включеном UDP могут подставить любой IP и проломиться по insecure=port,invite

Из этого можно сделать вывод что даже при статическом хосте добавляем deny/permit, хуже от них не будет, а проломится уже не выйдет.

не совсем
deny/permit тоже не спасет
авторизация крайне желательна, по этому insecure на type=peer использовать только для входящих к вам, верней с контекстами из которых нет выходов наружу