<b>Защита SIP от сканеров и брутфорса: Fail2ban, Kamailio и правильные deny-политики</b>
SIP-интерфейс, выставленный в интернет без фильтрации, быстро получает полный набор: сканирование 5060/5061, подбор учёток, INVITE-фрод и мусорный REGISTER. Ставить «сложный пароль» недостаточно: атакующий не обязан угадывать пароль, ему часто достаточно шуметь до деградации платформы.
Базовый слой — не пускать лишнее на edge. В Kamailio режем по ACL, geoip, rate-limit и sanity-проверкам: отсеиваем кривые пакеты, пустые User-Agent, всплески REGISTER/INVITE с одного /32 или /24. Для внутренних транков — отдельные listen/socket и жёсткая маршрутизация по IP, без аутентификации там, где она не нужна. Отказоустойчивость — это не роскошь, а базовое требование к SIP-платформе.
Fail2ban ставится не «на всякий случай», а под конкретные паттерны логов Asterisk/Kamailio: repeated auth failures, scan attempts, excessive OPTIONS, unauthorized INVITE. Важно банить не только IP, но и учитывать источники с NAT/CDN, иначе можно отрезать легитимных абонентов. Для этого задают более длинные findtime, incremental bantime и отдельные jail для SIP и web-админок. 🔒
Фрод чаще идёт через компрометированные учётки, поэтому смотрите не только на ban, но и на сигнализацию: аномальная длительность вызовов, ночные направления, резкий рост международных маршрутов. Логи должны коррелироваться с CDR/RTCP, иначе SIP-атака останется «просто шумом» до счёта от транка.
Правильная схема такая: edge-фильтр в Kamailio, локальная реакция Fail2ban, затем анализ маршрутов и лимитов на уровне биллинга. Разбираем дамп трафика в Wireshark, и вот что мы там видим... если INVITE приходит тысячами — проблема не в пароле, а в том, что порт до сих пор открыт для всего интернета.
Работа с API телефонии
@phone_api_gateway_arb
<b>Защита SIP от сканеров и брутфорса: Fail2ban, Kamailio и правильные deny-политики</b>
Этот пост опубликован в Telegram-канале Работа с API телефонии. Подписаться можно по ссылке: @phone_api_gateway_arb.