[GELÖST]SIP: Unterscheidung external / internal SIP IDs

[dynamic]

Hallo,

kann man am Asterisk zwischen internen und externen SIP-IDs unterscheiden, so dass:

• bestimmte für den internen Gebrauch vorgesehene SIP-IDs nur aus dem LAN erreicht werden können ( z.B. uneingeschränkte abgehende anrufe )
• während gleichzeitig andere SIP-IDs auch aus dem WAN erreicht werden können ( z.B. eingeschränkte abgehende Anrufe )?

Mir ist klar, dass ich über den Dialplan einschränken kann, wer was darf,
aber das alleine hilft ja nicht.

Daher: Wie vermeide ich, dass SIP-ID "12345" nur aus dem LAN ( meinetwegen gleiche C-klasse wie der Asterisk-Server ) erreicht werden kann, während SIP-ID "54321" auch aus dem WAN erreichbar ist ?

Ferner wäre noch interessant zu wissen, ob es eine Möglichkeit gibt eine "max-failed-authentication-attempts" zu definieren, so dass bei einem "externen Angriff", die jeweilige SIP-ID gesperrt wird ( oder muss man wirklich sowas über die extensions.conf selber stricken ? )

Gruß
dynamic

 

[Fredjam]

Also einen direckten weg für die IDs habe ich jetzt nicht aber entweder man macht das ganz einfach mit einer if bedingung oder teilt das in verschiedene exten
also interne und externe ... So kann man sich verschiedeneI ID angeben. zu deiner zweiten frage habe ich jetzt keinen tip

 

[Tippfehler]

Wenn man z. B. die Nat-Einstellung in der sip.conf für interne Clients geschickt falsch einstellt, können sie sich von extern nicht mehr anmelden und damit auch nur noch vom Lan aus telefonieren.
Jedenfalls ist das bei mir leider so.

 

[dynamic]

@Fredjam
Das mit den unterschiedlichen "exten" bringt ja nichts, solange ein potentieller Angreifer sich auch mit der SIP-ID für diese oder andere exten anmelden kann.

@Tippfehler
Das wäre natürlich einen Versuch wert
Ich habe zwsichenzeitlich mich weiter eingelsen und glaube, dass es mit folgenden Anweisungen gehen müsste:

[FONT=monospace]deny=0.0.0.0/0.0.0.0 [/FONT]
[FONT=monospace]permit=192.168.178.0/255.255.255.0 [/FONT]

Wenn ich es richtig verstanden habe, sollten in diesem Fall nur Clients aus der angegeben C-Klasse zugelassen werden. Werde ich später mal testen ;-)

[EDIT]
Die Tests waren erfolgreich, d.h. über die "deny" und "permit" Parameter kann man pro SIP-ID angeben aus welchem IP-Kreis bzw. welche gezielten IPs sich mit dieser ID registrieren dürfen.
Dennoch wäre ich an Vorschlägen für die Festlegung eines "Failed-Authentication Retry-Limits" interessiert

Gruß
dynamic

 

[betateilchen]

Dennoch wäre ich an Vorschlägen für die Festlegung eines "Failed-Authentication Retry-Limits" interessiert

Das widerspricht der grundlegenden Philosophie eines VoIP Servers und ist deshalb mit Asterisk Bordmitteln nicht zu lösen - weil es einfach keinen Sinn macht. Denn es ist ja grundsätzlich auch möglich, ohne jegliche Authentifizierung zu telefonieren und im SIP Stack ist generell einfach keine Begrenzung der Versuche definiert.

 

[dynamic]

@betateilchen
Nichts gegen die * Philosophie, aber der Sicherheitsaspekt scheint dabei aber recht dürftig berücksichtigt worden zu sein ;-)
Was nicht ist, kann ja noch werden...

Mit der Einschränkung der SIP-IDs hat man ja schonmal das Scheunentor etwas zu.

Was ist eigentlich der Grund, dass auch die externen SIP-Clients im * mit Ihrer privaten-IP erscheinen ( z.B. 10.0.0.5 ), obwohl diese ja ausserhalb des jeweiligen LANs nicht von Bedeutung sind und eigentlich den Asterisk nichts angehen ??

Thanks!

Gruß
dynamic