При работе Коралл-РА в публичной сети необходимо позаботиться о безопасности устройства во избежание подбора паролей (bruteforce), DoS (DDoS) атак и других действий злоумышленников, которые могут привести к нестабильной работе оборудования, краже абонентских данных, к попыткам совершения вызовов за чужой счет, и как следствие к принесению ущерба как провайдеру, предоставляющему услуги связи, так и абонентам.
Применение Коралл-РА в публичной сети нежелательно без использования дополнительных средств защиты, таких как пограничный контроллер сессий (SBC), межсетевой экран (firewall) и т.п.
Рекомендаций по работе Коралл-РА в публичной сети:
- не рекомендуется работа в публичной сети с портом по умолчанию 5060 для сигнализации SIP. Для изменения этого параметра необходимо в настройках «Интерфейсы SIP» поменять значение параметра «Порт для приема SIP сигнализации» в общей конфигурации SIP и настройках интерфейсов SIP1. Данная настройка не обеспечит полную защищенность, поскольку при сканировании сигнальный порт все равно может быть обнаружен;
- если известны IP-адреса всех взаимодействующих с Коралл-РА устройств, то при помощи встроенного firewall (статисечкого брандмауэра) необходимо сконфигурировать разрешающие правила для этих адресов, а доступ для остальных адресов необходимо запретить. Разрешающие правила необходимо ставить первыми в списке правил.
Также необходимо сконфигурировать динамический брандмауэр.
Динамический брандмауэр отслеживает в log-файле (/tmp/log/pbx_sip_bun.log) неудачные попытки обращения по протоколу SIP и в случае превышения количества этих попыток заданной величины доступ для IP-адреса, с которого были произведены эти неудачные попытки, блокируется на заданное время. В утилите также имеется возможность создания списка доверенных и недоверенных адресов. Подробное описание приведено в разделе 3.1.8.2.