Chan_SIP vs PJSIP
25 июня 2026, 15:13
 |
Если вы все еще используете chan_sip в Asterisk, возможно, пришло время перейти на PJSIP. Многие инженеры изучали Asterisk в текущей реализации с каналом "chan_sip", и в течение многих лет это был стандартный способ настройки конечных точек SIP, но сегодня "PJSIP" является рекомендуемым драйвером канала, и не без оснований. Некоторые ключевые отличия: • "chan_sip" устарел и больше не соответствует современным требованиям (не ясно - что именно там устарело? RFC не менялисььь) • "PJSIP" более гибкий и модульный • "PJSIP" более структурированно обрабатывает конечные точки, аутентификацию, AOR, правила идентификации, транспортировку и регистрацию. (стандартные определения, ничего не объясняющие. 47 файлов канала вместо одного) • "PJSIP" обеспечивает улучшенную поддержку современных сценариев SIP, включая обработку NAT и более сложные развертывания. Именно поэтому многие новые среды Asterisk построены непосредственно на "res_pjsip". Очень простой способ представить конфигурацию конечной точки в "PJSIP" заключается в следующем: конечная точка определяет поведение устройства, auth определяет учетные данные, aor определяет, где можно получить доступ к устройству (базовой конечной точке) обычно включает в себя: • транспортировку • контекст • запрещать / разрешать кодеки • авторизацию • aors • и во многих сценариях NAT используются такие опции, как "rewrite_contact", "force_rport" и "rtp_symmetric". Таким образом, хотя "chan_sip" на первый взгляд может показаться более простым, "PJSIP" обычно дает вам более чистую и масштабируемую модель, как только вы понимаете, как все части сочетаются друг с другом, по моему опыту, самый большой сдвиг заключается не только в синтаксисе, но и в том, как вы начинаете думать об объектах SIP внутри Asterisk. Для инженеров, работающих с Asterisk, что было самым сложным при переходе с "chan_sip" на "PJSIP", синтаксис, устранение неполадок или изменение ментальной модели?
Senior VoIP Engineer | Asterisk / SIP Specialist |
Читать полностью »Chan_SIP vs PJSIP
Ваш телефон — шпион
2 мая 2026, 10:45
 |
В апреле 2026 года эксперты RKS Global опубликовали исследование, которое раскрывает масштабный переход российских властей к новой тактике цифрового контроля. Теперь функции цензуры и слежки перекладываются с государственных структур на частные компании через их мобильные приложения.Масштабы слежкиИсследование 30 популярных российских приложений для Android показало тревожные результаты:* Детекция VPN: 22 приложения из 30 определяют, включен ли у пользователя VPN, а 19 из них передают этот статус на сервер. * Список установленного ПО: 24 приложения сканируют список всех программ на устройстве. * Root-доступ: 29 приложений проверяют наличие прав суперпользователя (root-доступа). Кто попал в список «шпионов»?В список сервисов, детектирующих VPN и собирающих данные, вошли практически все лидеры рынка:* Банки: Сбербанк Онлайн, Т-Банк (Тинькофф), ВТБ Онлайн, Альфа-Банк. * Экосистемы и поиск: Яндекс Браузер, Яндекс Карты, Яндекс Музыка, Кинопоиск, Почта Mail.ru. * Соцсети и видео: ВКонтакте, ВК Видео, Одноклассники, RuTube. * Маркетплейсы и доставка: Wildberries, Ozon, Мегамаркет, Самокат, Яндекс Еда. |
Особо агрессивные методы контроля
Некоторые приложения используют методы, выходящие далеко за рамки их функционала:* Поведенческая биометрия: 11 приложений (включая Т-Банк, Сбербанк, Альфа-Банк, Госуслуги) перехватывают точки нажатия и время касания экрана. Это позволяет создать уникальный профиль пользователя по его манере взаимодействия с устройством.
* Поиск средств анонимизации: Яндекс Браузер — единственное приложение, которое специально ищет на устройстве браузер Tor.
* Удаленное управление: Ozon и Самокат проверяют наличие программ для удаленного доступа, таких как AnyDesk или TeamViewer.
* Сбор данных о конкурентах: Приложение Avito способно определять наличие более 200 сторонних программ, включая банки и соцсети.
Банковские приложения как лидеры слежки
Банковский сектор признан самой агрессивной группой. Например, Т-Банк запрашивает 47 разрешений, 24 из которых выдаются автоматически при установке без ведома пользователя. Банки активно используют «отпечаток устройства» (fingerprint) и передают данные, к которым могут иметь доступ спецслужбы.
Платформенные различия: Android vs iOS
Исследование подчеркивает, что пользователи Android находятся в гораздо большей опасности. Архитектура системы позволяет приложениям запускаться при включении телефона и работать в фоне. В то же время на iPhone (iOS) такая глубокая слежка затруднена из-за закрытости системы и изоляции приложений (песочницы). Однако полная защита не гарантирована, если пользователь сам предоставил приложению доступ к геолокации или контактам.
Рекомендации по безопасности
Для снижения рисков эксперты предлагают следующие меры:
* Разделение устройств: Использовать один телефон только для российских сервисов, а второй — для личной жизни и работы.
* Изоляция данных: На Android использовать рабочий профиль (Work Profile) через приложение Shelter, чтобы ограничить доступ программ к личным файлам и контактам.
* Отзыв разрешений: Запретить доступ к микрофону, камере, списку звонков и SMS всем приложениям, где это не является критически необходимым.
* Геолокация: Оставлять доступ к GPS только навигаторам и только во время их использования.
* Разделение устройств: Использовать один телефон только для российских сервисов, а второй — для личной жизни и работы.
* Изоляция данных: На Android использовать рабочий профиль (Work Profile) через приложение Shelter, чтобы ограничить доступ программ к личным файлам и контактам.
* Отзыв разрешений: Запретить доступ к микрофону, камере, списку звонков и SMS всем приложениям, где это не является критически необходимым.
* Геолокация: Оставлять доступ к GPS только навигаторам и только во время их использования.
https://dzen.ru/a/adx7Z_J4NAI8519b
Ваш телефон — шпионIT компании могут лишить аккредитации за пропуск VPN-трафика
2 апреля 2026, 11:26
 |
Не потому, что не патриоты, а потому, что … В общем, давайте разбираться. Итак наше государство (если верить информации на скрине) решило бороться с обходом блокировок руками самого IT-бизнеса. Минцифры подготовило жесткие правила: если цифровой сервис или сайт компании остается доступным для пользователей с включенным VPN, эту компанию лишат государственной IT-аккредитации. Почему это для отрасли приговор. Лишение аккредитации делает легальную работу невыгодной. Налог на прибыль моментально взлетает с льготных 5% до стандартных 25%, отменяются пониженные страховые взносы. Также сотрудники теряют право на IT-ипотеку (что немаловажная льгота сегодня). И все это не просто чьи-то капризы, а констатация простого факта (понятного любому, кто разбирается в теме) — работать без VPN физически невозможно!!! От бизнеса требуют заблокировать технологию, на которой держится сама разработка. В 2022 году из-за санкций важнейшие мировые платформы закрыли доступ для пользователей из РФ. Это глобальные «гипермаркеты» готовых блоков кода, без которых не строится ни одна современная программа. Они полностью заблокировали российские IP-адреса из-за законов США. |
Оборудование (NVIDIA): Производитель главных видеокарт для искусственного интеллекта закрыл россиянам доступ к скачиванию драйверов. Без обновлений серверы быстро превращаются в бесполезное железо.
Создать аналоги внутри страны невозможно (мы не готовы это заместить!!!): нельзя сымитировать работу миллионов программистов со всего мира (Open Source) или скопировать засекреченную архитектуру микрочипов. Российский разработчик без VPN сегодня — как строитель, которого не пускают на склад за кирпичами.
Причем от этих решений страдают не только айтишники. РКН заблокировал уже почти 500 VPN-сервисов. Пытаясь отсечь инструменты обхода, ведомство жестко фильтрует защищенный трафик. Из-за этого «падают» корпоративные сети логистических компаний, происходят сбои в онлайн-кассах банков и даже прерывается связь медицинских аппаратов с серверами производителей.
Судя по действиям РКН те, кто принимал и продолжает принимать текущие решения в данной сфере, всех этих взаимосвязей … просто не знают. А те консультанты, которые их консультировали (и по логике должны все это знать) либо профнепригодны, либо просто БОЯТСЯ оспорить команду сверху. И не важно какая из версий верна, но все это в конечном итоге, если не взяться за голову и выстраивать систему информационной безопасности России с умом и расстановкой, а не потому что «сверху приказали» приведет к очень негативным последствиям. И отъезд из России с концами IT-компаний это (поверьте мне) еще меньшее из зол.
Вот когда начнут останавливаться медицинские центры, сбоить банковский сектор и промышленность (хотя они и так уже начали это делать), тогда все те, кто сейчас от таких как мы отмахивается, возьмутся за голову и начнут искать выход. Найти который будет много труднее, чем прямо сейчас начать работать «по уму», а не чтобы хоть как-то «выполнить приказ сверху».
https://www.finmarket.ru/main/article/6590572
Direct to Cell — следующее поколение связи
15 января 2026, 05:22
 |
Это связь напрямую со спутником через обычный смартфон по стандартному LTE в диапазоне 1,9–2,2 ГГц. На орбите уже более 650 спутников Direct to Cell. Пока работают только SMS, а голос и передача данных обещаны в ближайшее время. Чем это отличается от обычного Старлинка? Всем. Терминал Старлинк — это тарелка на крыше, которую можно найти, конфисковать. Direct to Cell — это любой из миллиардов смартфонов на планете. Попробуйте найти. Да, пока нужна наземная инфраструктура оператора — так называемый gateway и операторское ядро. Но спутники Starlink связаны между собой лазерами (ISL) и могут передавать данные через тысячи километров на gateway в Польше или Техасе. Локальная инфраструктура в стране пользователя в будущем уже не нужна. |
Пока ещё операторское ядро (core network) требуется для аутентификации SIM-карт, маршрутизации трафика и подключения к телефонной сети. SpaceX уже решает эту проблему. В сентябре 2025 года компания приобрела собственный радиочастотный спектр (AWS-4, H-block). Они движутся к тому, чтобы стать полноценным виртуальным оператором с собственным ядром в облаке. Когда это случится — любой человек просто скачает eSIM на обычный телефон и получит связь, которую невозможно отключить изнутри страны.
Просто выключить базовые станции не поможет — телефону вышки не нужны, он смотрит на небо. Отключение наземного интернета тоже бесполезно — данные идут через космос. Искать устройства сложно — это обычные телефоны, которых миллионы, хотя при передаче они излучают сигнал, который теоретически можно засечь. GPS-уязвимость, которая работала против терминалов, здесь отсутствует. Это уже более серьёзный технологический вызов, чем Старлинк. Запретить не получится — запрещать нечего, так как это обычные смартфоны с профилями eSIM. Контролировать невозможно — инфраструктура за пределами досягаемости.
Новый SIP-стек на RUST - RVOIP
25 декабря 2025, 02:36
Джонатан Айзенцопф (Jonathan Eisenzopf), разработчик из компании Talkmap (Сан-Франциско, Калифорния), предложил новый SIP-стек, написанный на языке RUST, ориентированный на высоконагруженные Контакт-центры, использующие голосовые соединения
Архитектура┌─────────────────────────────────────────────────────────────────────────┐ │ INTERNET │ └─────────────────────────────────────────────────────────────────────────┘ │ ┌─────────┴────────┐ │ │ [Public IPs] [Public IPs] │ │ ┌─────────────────┴──────┐ ┌────────┴─────────────────┐ │ SBC Server (Active) │ │ SBC Server (Standby) │ │ Libraries: │ │ Libraries: │ │ - sbc-core (NEW) │ │ - sbc-core (NEW) │ └───────────┬────────────┘ └──────────────────────────┘ │ [DMZ Network - 10.1.0.0/24] │ ┌───────────┴──────────────────────────────────┐ │ │ ┌────┴─────────────┐ ┌────────┴────────┐ │ Registrar │ │ Auth/User Mgmt │ │ Server │ │ Server │ │ Libraries: │ │ Libraries: │ │ - registrar-core │ │ - users-core │ │ - sip-core │ │ - auth-core │ └────┬─────────────┘ └─────────────────┘ │ │ [Trusted Network - 10.2.0.0/24] │ ┌────┴────────────────────────────────────────────┐ │ SIP Proxy Cluster │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ Proxy 1 │ │ Proxy 2 │ │ Proxy 3 │ │ │ │ proxy- │ │ proxy- │ │ proxy- │ │ │ │ core │ │ core │ │ core │ │ │ └─────────┘ └─────────┘ └─────────┘ │ └────┬────────────────────────────────────────────┘ │ ├──────────────────┬──────────────────┬────────────────┐ │ │ │ │ ┌────┴─────┐ ┌─────┴─────┐ ┌─────┴─────┐ ┌──────┴──────┐ │ B2BUA │ │ IVR │ │ Queue │ │ Conference │ │ Server │ │ Server │ │ Server │ │ Server │ │ │ │ │ │ │ │ │ │ b2bua- │ │ b2bua- │ │ b2bua- │ │ b2bua- │ │ core │ │ core + │ │ core + │ │ core + │ │ (dialog) │ │ ivr │ │ queue │ │ conference │ │ │ │ handler │ │ handler │ │ handler │ └────┬─────┘ └─────┬─────┘ └─────┬─────┘ └──────┬──────┘ │ │ │ │ └──────────────────┴──────────────────┴────────────────┘ │ API Control (REST/gRPC) [Media Network - 10.3.0.0/24] │ ┌───────────────────────────┴────────────────────────────┐ │ Media Server Pool │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ Media 1 │ │ Media 2 │ │ Media 3 │ │ │ │ media- │ │ media- │ │ media- │ │ │ │ server- │ │ server- │ │ server- │ │ │ │ core │ │ core │ │ core │ │ │ └──────────┘ └──────────┘ └──────────┘ │ └────────────────────────────────────────────────────────┘ |
## Server Components ### 1. Session Border Controller (SBC) **Purpose**: Network edge security, NAT traversal, topology hiding, DDoS protection **Configuration**: Active/Standby HA pair **Libraries Required**: - `sbc-core` (NEW) - Primary SBC functionality - `media-core` - RTP anchoring - `sip-transport` - Network edge handling - `infra-common` - Infrastructure **Key Functions**: - Topology hiding (removes internal IPs) - NAT traversal (Far-end NAT support) - Protocol normalization - Rate limiting and DDoS protection - TLS termination - Header manipulation ### 2. Registrar Server **Purpose**: User registration, location service **Configuration**: Active/Active cluster with database backend **Libraries Required**: - `registrar-core` - Registration handling - `sip-core` - SIP message parsing - `infra-common` - Infrastructure - Database integration for persistence **Key Functions**: - REGISTER processing - Location binding management - Registration expiry handling - Multi-device registration support - Integration with auth server ### 3. Authentication/User Management Server **Purpose**: User authentication, authorization, account management **Configuration**: Active/Active cluster **Libraries Required**: - `users-core` - User management - `auth-core` - OAuth2/JWT authentication - Database backend (PostgreSQL/MySQL) **Key Functions**: - SIP digest authentication - OAuth2/JWT for web clients - User provisioning - Permission management - Integration with external identity providers ### 4. SIP Proxy Cluster **Purpose**: Call routing, load balancing, failover **Configuration**: Stateless proxy cluster (3+ nodes) **Libraries Required**: - `proxy-core` (NEW) - Proxy functionality - `dialog-core` - Transaction management - `infra-common` - Infrastructure **Key Functions**: - Request routing based on rules - Load balancing across B2BUA servers - Failover handling - Parallel/serial forking - Route advance on failure |
https://github.com/eisenzopf/rvoip
Обзор безопасности VoIP за 2025 год
20 декабря 2025, 11:30
 |
Подводим обзор за весь год, лучшие и худшие показатели безопасности RTC в 2025 году: Плохие новости: - Yealink снабдила каждый VoIP-телефон копией закрытого ключа своего центра сертификации, который по замыслу не может быть обновлён; - В течение 9 месяцев утечка данных из Ribbon C ommunications оставалась незамеченной при поставках в AT&T, Verizon и Министерство обороны - уязвимость нулевого дня во FreePBX активно использовалась в дикой природе. Хорошие: - Выпущена версия OWASP ASVS v5, в которой есть специальная глава о безопасности WebRTC - Опубликован RFC 9725 (WHIP) со встроенными средствами защиты - Asterisk добавил аутентификацию по протоколам SHA-256/SHA-512 (наконец-то преодолев MD5) Также в этом выпуске: - Наши рекомендации по отказу в обслуживании в SIPGO - эта библиотека поддерживает SIP-интерфейс OpenAI в реальном времени - Дополнительные уязвимости FreePBX: обход аутентификации и внедрение SQL-кода; - Анализ VoIP-протокола Tin Can: секретные вопросы, которые родители должны задавать об игрушках, подключенных к Интернету. - Критические уязвимости в Fanvil X210, включая неавторизованный RCE. |
