<div dir="ltr"><div><div>Generally opening media ports range is fine. Media ports are usually dynamically allocated and not easy to guess for an attacker.<br><br></div>Secondly using proxy like mediaproxy or mediraproxy-ng which use Kernel based RTP packet forwarding, its not easy to create DOS attack, since kernel will only accept RTP packets from IP addresses advertised by SIP UAs.<br>

<br></div>Thank you.<br><br><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jan 2, 2014 at 5:00 PM, Jr Richardson <span dir="ltr"><<a href="mailto:jmr.richardson@gmail.com" target="_blank">jmr.richardson@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi All,<br>
<br>
Background:<br>
We are a service provider offering VoIP/Data services to business<br>
customers.  All hosted VoIP systems and Customers are mostly on-net,<br>
VoIP systems not exposed to the Internet, but all hosted PBX's do have<br>
public IP address.  I do have some Customers with off-net phones/users<br>
so I basically white list their IP's so the phones can register back<br>
to their hosted PBX.  This works well and keeps SIP attack vectors to<br>
a minimum.  I've been working on a single point of registration<br>
Kamailio server to backend PBX's so I can further control public<br>
Internet access to hosted PBX's.  I've got this working in the lab but<br>
have some concerns about RTP streams.<br>
<br>
I know I can use a RTP/Media Proxy to also have a single point of<br>
entry for media streams to the the backend PBX's but don't believe<br>
this to be the best method.  Researching SBC's and what I know about<br>
SIP and RTP Streams, it's best to have media controlled via the B2BUA<br>
(Asterisk in this case) and since all my hosted PBX's have public IP's<br>
there would be no compelling reason to proxy RTP adding another hop,<br>
latency and point of failure other than for security.  I'm not<br>
transcoding media or doing anything outside of the capability of the<br>
B2BUA as far as media goes.<br>
<br>
Question:<br>
Would it be prudent to open UDP media ports from Internet to PBX's on<br>
a case-by-case basis, basically white listing media streams or is<br>
there any attack vulnerability with UDP in the media port range or<br>
should I open up media port range to all PBX's and not worry about<br>
attacks.  Are there any UDP Media exploits that I should be concerned<br>
with, or UDP flood attacks that could DOS my hosted PBX's?<br>
<br>
Thanks for any feedback.<br>
<span class="HOEnZb"><font color="#888888"><br>
JR<br>
--<br>
JR Richardson<br>
Engineering for the Masses<br>
<br>
_______________________________________________<br>
SIP Express Router (SER) and Kamailio (OpenSER) - sr-users mailing list<br>
<a href="mailto:sr-users@lists.sip-router.org">sr-users@lists.sip-router.org</a><br>
<a href="http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users" target="_blank">http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users</a><br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br><div><span style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">Mit freundlichen Grüßen</span></div>

<span style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">Muhammad Shahzad</span><br style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

<span style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">------------------------------</span><span style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">-----</span><br style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

<span style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">CISCO Rich Media Communication Specialist (CRMCS)</span><br style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

<span style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">CISCO Certified Network Associate (CCNA)</span><br style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

<span style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">Cell: +49 176 99 83 10 85</span><br style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

<span style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">MSN: </span><a href="mailto:shari_786pk@hotmail.com" style="color:rgb(17,85,204);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)" target="_blank">shari_786pk@hotmail.com</a><br style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

<span style="color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">Email: </span><a href="mailto:shaheryarkh@googlemail.com" style="color:rgb(17,85,204);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)" target="_blank">shaheryarkh@googlemail.com</a>
</div>