Предотвращение вторжения звездочки
Я полагаю, что истинная Оболочка Bourne (/bin/sh на многих коммерческих вариантах Unix) не поддерживает присвоение и экспортирует в отдельном операторе. Это - то, как я помню это со своих дней на Солярисе.
Я не знаю, используют ли новые версии Соляриса удар по умолчанию теперь. Независимо, Ваш последний случай является более портативным, таким образом, я придерживался бы этого.
Вы корректны, что "это - способ, которым Вы заставляете фактический телефон соединяться с сервером Звездочки". Телефоны регистрируются к серверу на том же порте, который это используется для регистрации в поставщике.
Если Вы только используете SIP, чтобы говорить с поставщиком, то просто устанавливают брандмауэр, чтобы только позволить SIP от поставщика.
Fail2Ban является одним решением, но дает противникам 5 возможностей, когда они не должны получать ни один.
Вы позволяете анонимные вызовы SIP, или Вы регистрируетесь к серверу, который передает пользователя, ищущего их код снятия блокировки?
Если Вы - сервер звездочки, регистрируется к сервису SIP затем, можно изолировать порты SIP, чтобы только позволить входящие соединения от регистра SIP, пока они остаются в середине. В ответ на Вашу озабоченность по поводу хранения системы применимый веб-сервер можно все еще сохранить порт 80 открытыми для всех входящих соединений.
При разрешении входящих анонимных соединений глотка, Вы в более трудном положении. Вы, очевидно, не можете ограничить соединения SIP IP. Удостоверьтесь любая регистрация, которую Вы действительно имеете, имеют сложные пароли и создают путь черной дыры, который выводит любой вызов, который не соответствует URI Вашего приложения. Fail2Ban как Вы уже имеют установку, также лучший ответ, с которым я столкнулся для ограничения нападений.
Можно использовать iptables брандмауэр для блокирования ВСЕХ входящих соединений кроме SIP от IP, который использует магистральный поставщик.
iptables поставляется с, например, AsteriskNow, но может также быть загружен и установлен отдельно.
Я не iptables эксперт, так не попытается предоставить Вам полную подробную информацию о том, как настроить его в случае, если я понимаю его превратно, но существует богатство информации только щелчок Google далеко и поскольку Ваши правила будут довольно просты, это не должно быть слишком сложно для установки
Если НЕОБХОДИМО позволить соединения SIP от произвольных внешних адресов, настраивающих Fail2Ban, вероятно, лучшее решение, в сочетании с ДОЛГИМИ Секретами SIP (символьный минимум 10-11). Принятие Вас настроило все устройства, которые соединяются с Вашим сервером, законные пользователи никогда не должны будут вводить свой секрет SIP.
Иначе, поскольку другие предложили, чтобы Вы действительно хотели заблокировать вниз доступ к серверу VoIP как можно больше, - Ограничивают входящие соединения SIP с минимальным набором адресов, которые должны соединиться, и возможно вынуждать удаленных пользователей проникнуть через VPN для доступа к серверу SIP (если это не уничтожает качество звука).
Примечание по общей безопасности, Звездочка довольно известна тем, что имела дыры в системе безопасности и скрывалась ошибки - Этот Парень сделал определенное призвание из нахождения новой и интересной поломки в Звездочке.
В дополнение к шагам выше для защиты Звездочки от того, чтобы быть использованным я предложил бы изолировать поле VOIP как можно больше (на его собственной подсети, в его собственном VLAN) для защиты остальной части инфраструктуры в конечном счете кто-то действительно находит путь в и пытается сделать что-то противное.