Работа с API телефонии

<b>Как закрыть SIP от сканеров, брутфорса и фрода без лишней магии</b>

<b>Как закрыть SIP от сканеров, брутфорса и фрода без лишней магии</b>

SIP-порт 5060 сканируют постоянно: сначала ищут живые хосты, потом пробуют REGISTER/INVITE, а дальше — подбор паролей и вызовы в дорогостоящие направления. Если у вас торчит Asterisk или SBC наружу без фильтрации, защита должна быть на двух уровнях: на периметре и в логике маршрутизации.

Fail2ban ловит повторяющиеся 401/403, ошибки аутентификации и аномальные REGISTER с одного IP. Базовый принцип: банить не по одному событию, а по серии. В фильтрах важно различать легитимные внутренние телефоны за NAT и внешних сканеров, иначе легко отрезать свой офисный сегмент.

Kamailio лучше использовать как SIP-экран перед АТС: ACL, `pike`, `htable`, ограничение частоты запросов, отсечение INVITE без авторизации, запрет REGISTER для неизвестных подсетей. Для RTP — фиксируйте media relay только на доверенных диапaзонах, а не на «весь интернет». Разбираем дамп трафика в Wireshark, и вот что мы там видим: сканер почти всегда палится по коротким burst-запросам и одинаковым `User-Agent`.

Практика простая: Fail2ban отвечает за реакцию на повторяющийся мусор, Kamailio — за ранний отсев и rate limit. Если добавить denylist на уровне firewall и журналирование по источнику, фрод перестаёт быть «сюрпризом» в CDR и становится обычным инцидентом, который отсекается на входе.
Этот пост опубликован в Telegram-канале Работа с API телефонии. Подписаться можно по ссылке: @phone_api_gateway_arb.
tech

Свежие посты в категории «Tech Infrastructure»

Все каналы категории →

start

Готовы запустить рекламу через сеть public.tg?

Новый оффер, продукт, GEO, кейс, событие или партнёрский запуск — соберём маршрут под задачу и отдадим медиаплан.

Telegram для медиаплана: @dumay. Быстрый тест: $20 за канал, $1000 за пакет по сети.