Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1765 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Has the SIP Proxy a security problem?

FrankFiene
I know it is not a real proxy but a nat helper module, but i have serious problems with it!

I've configured an internal Asterisk server with local clients.
The Asterisk server is configured in the field "SIP Client networks".
The providers SIP Gateway in the field "SIP server networks".

Now i see beneath the normal traffic incoming connections from 122.228.217.75 port 5161 to the Astaro on port 5060 and the Astaro forwards the traffic to the Asterisk!
The Asterisk server can handle this, but i am wondering about, that this is not blocked by the packet filter!

This one is a 7.510.

What is the problem here? I've seen this on another Astaro with 8.101, too!

Here conntrack -L | grep 5060 (first one is correct):

udp      17 3573 src= dst=200.162.143.209 sport=5060 dport=5060 packets=56 bytes=29348 src=200.162.143.209 dst= sport=5060 dport=5060 packets=56 bytes=31308 [ASSURED] mark=65536 use=2
udp      17 3599 src=122.228.217.75 dst= sport=5161 dport=5060 packets=89757 bytes=34156068 src= dst=122.228.217.75 sport=5060 dport=5161 packets=111066 bytes=46030308 [ASSURED] mark=65536 use=1



Here iptables -L | grep 5060:

CONFIRMED  tcp  --           vsc.transitbrasil.com.br tcp spts:tcpmux:65535 dpt:sip CONFIRMED 
CONFIRMED  udp  --           vsc.transitbrasil.com.br udp spts:tcpmux:65535 dpt:sip CONFIRMED


This thread was automatically locked due to age.
Parents
  • 0
    Proxy traffic always supersedes the packet filter by creating hidden rules with a higher precedence than visible rules.  In the packet filter, first rule to match, wins.

    I personally prefer not to use the SIP proxy in favor of the more granular control provided by manually created PF rules.  It doesn't hurt that my VOIP PBX vendor doesn't support the use of proxies due to increased latency.  

    What is the effect if you enable strict mode?
  • 0 in reply to Scott_Klassen
    Proxy traffic always supersedes the packet filter by creating hidden rules with a higher precedence than visible rules.  In the packet filter, first rule to match, wins.

    I personally prefer not to use the SIP proxy in favor of the more granular control provided by manually created PF rules.  It doesn't hurt that my VOIP PBX vendor doesn't support the use of proxies due to increased latency.

    What is the effect if you enable strict mode?


    Ahhmm, strict mode?

    My question is: who has created the connection tracking entry if there is no corresponding packet filter rule?
    Maybe the sip helper module? But why for this IP? Maybe for any incoming IP?
    Is this only the voice stream without the signaling? Because Asterisk does not open a phone call for this!

    All this VOIP stuff is quiet new to me ...
  • 0 in reply to FrankFiene
    Hi,
    the stricy mode stops your PABX from registering with the rogues and only allows your VoIP providers connection.

    What you are more than likely seeing is registration attempts from other VoIP services.

    Ian
  • 0 in reply to RFCat_vk_01
    Hi,
    the stricy mode stops your PABX from registering with the rogues and only allows your VoIP providers connection.

    What you are more than likely seeing is registration attempts from other VoIP services.

    Ian


    I think it is activated, but the client tries anyway!

    But again: this should be blocked from the Packet Filter!
  • 0 in reply to FrankFiene
    While I don't have a PABX behind my ASG, I do have two VoIP phones to two different ISPs. Until I turned on the strict mode, I was seeing many attempts to contact or get my phones to register.

    Now I only get registrations from my VoIP providers.

    I have not added any packet filter rules to achieve this.

    Ian
Reply
  • 0 in reply to FrankFiene
    While I don't have a PABX behind my ASG, I do have two VoIP phones to two different ISPs. Until I turned on the strict mode, I was seeing many attempts to contact or get my phones to register.

    Now I only get registrations from my VoIP providers.

    I have not added any packet filter rules to achieve this.

    Ian
Children
No Data