<div dir="ltr">Good morning -<div><br></div><div>I have a bunch of Cisco IAD24xx models out in the field all running SIP talking to our softswitch, and I thought I'd get the collectives input on the best method to secure them.</div>
<div><br></div><div>Up until a few weeks ago we have custom-written ACLs on the WAN interface of these routers to allow/deny SIP and other stuff. Well, a broken ACL allowed access to the wide-open by default H323 service and cost us some $TOLL_FRAUD -- nothing too bad, but enough for us review how we're doing things.</div>
<div><br></div><div>So, we have deployed a demo control-plane based policer/dropper to make sure that the WAN interface ACL doesn't have to be perfect (or even be there, which is the goal). An example:</div><div><br></div>
<div><div>policy-map cpp-policy</div><div> class cppclass-reporting</div><div> class cppclass-monitoring</div><div> class cppclass-management</div><div> class cppclass-services</div><div> class cppclass-voip</div><div> class cppclass-undesirable</div>
<div>   police rate 10 pps</div><div>     conform-action drop</div><div>     exceed-action drop</div><div> class cppclass-everything</div><div> class class-default</div><div>   police rate 1000 pps</div><div>     conform-action transmit</div>
<div>     exceed-action drop</div></div><div>!</div><div><div> Class Map match-all cppclass-voip (id 3)</div><div>   Match access-group name cpp-voip</div></div><div>!</div><div><div>Extended IP access list cpp-voip</div>
<div>    10 permit udp host SIPPROXY any eq 5060</div><div>    11 permit udp host SIPPROXY eq 5060 any (2159250 matches)</div><div>    20 permit udp host SIPPROXY2 any eq 5060</div><div>    21 permit udp host SIPPROXY2 eq 5060 any</div>
<div>    30 permit udp host AUDIO1 range 10000 20000 any (657129 matches)</div><div>    40 permit udp host AUDIO2 range 10000 20000 any</div><div>    50 permit udp host T381 range 4000 5999 any</div><div>    60 permit udp host T382 range 4000 5999 any</div>
<div>    510 permit udp host LEGACY1 any eq 5060</div><div>    520 permit udp host LEGACY2 any eq 5060</div><div>    530 permit ip CATCHALL 0.0.0.31 any</div><div>    540 permit ip CATCHALL 0.0.0.31 any</div></div><div><br>
</div><div><br></div><div>My question is that my cppclass-voip, and its associated Audio-related ACL (#30) is NOT matching all the RTP packets. There should be orders of magnitude more packets hitting that line than there are.</div>
<div><br></div><div>Anybody have any insight into how RTP is processed on these or on CUBEs in general? Does it create some sort of CPU-bypass from the WAN interface to the DSP that would make it not hit on a CoPP ACL?</div>
<div><br></div><div>Thanks!<br>Randal</div></div>