Почему не встроенный SBC?

Больше контроля: безопасность, SIP-манипуляция, rate limiting, медиа-релей.

Качество через RTPEngine?

Уровень ядра, субмиллисекундная латентность. Решает проблемы NAT.

Kamailio SBC для 3CX: SIP-безопасность с OpenSIPS и Docker

Q: Работает с 3CX v20?

Да. SBC на уровне протокола, любая версия 3CX.

Q: Высокие нагрузки?

Тысячи одновременных вызовов. 500+ медиа-потоков на одном сервере.

Проект реализует Session Border Controller (SBC) на базе Kamailio/OpenSIPS в Docker для защиты телефонных систем 3CX. Решение Kamailio SBC для 3CX обеспечивает маршрутизацию SIP-трафика, RTPEngine для медиа-релея, hardening SSH через fail2ban, настройку UFW и автоматическое управление SSL-сертификатами, всё развёрнуто на Ubuntu 22.04 как hardened SIP-слой безопасности между интернетом и АТС.

Содержание

Зачем Kamailio SBC для 3CX
Архитектура
Харденинг
Практическое применение
FAQ
Работает с 3CX v20?
Почему Kamailio, а не встроенный SBC?
Качество звонков через RTPEngine?
Высокие нагрузки?

Зачем Kamailio SBC для 3CX

Прямое подключение 3CX к интернету, приглашение для SIP-сканеров, brute-force атак на регистрацию и toll-fraud. Session Border Controller, шлюз безопасности: весь SIP-трафик проходит через SBC, который обрабатывает аутентификацию, rate limiting и медиа-релей. АТС не видит сырой интернет-трафик, что радикально сокращает поверхность атаки.

Архитектура

Kamailio/OpenSIPS — SIP-прокси для регистрации, аутентификации и маршрутизации вызовов между публичными эндпоинтами и 3CX
RTPEngine — медиа-релей на уровне ядра для RTP, минимальная латентность и NAT traversal
Docker Compose — контейнеризированный деплой для воспроизводимости
Fail2Ban + UFW — защита SSH и файрвол с SIP-правилами
Автоматический SSL — управление сертификатами для TLS SIP

Харденинг

Скрипт установки выполняет полный харденинг сервера: смена порта SSH, fail2ban, UFW с SIP-правилами, NTP-синхронизация, встроенные anti-flood механизмы Kamailio. Конфигурации dialplan, htable и subscriber обеспечивают гранулярный контроль маршрутизации. Этот многослойный подход, опыт защиты инфраструктуры корпоративных клиентов.

Практическое применение

Как внештатный CTO я разворачиваю эту конфигурацию SBC для клиентов с 3CX в продакшне. Один деплой защищает систему 3CX на 200 расширений с международными вызовами, SBC снизил SIP-атаки с тысяч в день до нуля на АТС, а RTPEngine устранил проблемы одностороннего аудио из-за сложных NAT-топологий.

Скрипты развёртывания и конфигурация доступны по запросу. Свяжитесь со мной для доступа или консультации по безопасности.

FAQ

Работает с 3CX v20?

Да. SBC работает на уровне протокола, маршрутизирует SIP независимо от версии 3CX. Поддерживаются Windows и Linux.

Почему Kamailio, а не встроенный SBC?

Больше контроля: политики безопасности, SIP-манипуляция, rate limiting, медиа-релей. Модули htable и dialplan дают гибкость, которой нет у встроенного SBC.

Качество звонков через RTPEngine?

RTPEngine работает на уровне ядра, добавляя субмиллисекундную латентность. Фактически улучшает качество, решая проблемы NAT traversal.

Высокие нагрузки?

Kamailio обрабатывает тысячи одновременных вызовов на скромном железе. С RTPEngine один сервер легко тянет 500+ одновременных медиа-потоков.