Я бы добавил «хороший мониторинг» к предложениям, перечисленным в других ответах. Следите за системами (предлагаемые названия для проверки журналов: logwatch или logcheck). Посмотрите на доступные инструменты отчетности звездочкой (я не знаю никаких названий, но пункт Asterisk Monitoring перечисляет некоторые ) и посмотрите, может ли ваш вышестоящий провайдер телефонии отслеживать ваше использование и предупреждать о незапланированном увеличении стоимости вызовов.

Некоторое время назад у нас была похожая проблема. В дополнение к ответу Майкла Хэмптона. Мы исправили это с помощью трех вещей.

1) Установка fail2ban . Это проверяет файлы журналов на предмет попыток сбоя пароля. Слишком много, и IP-адреса будут брандмауэрами. Он работает не только с звездочкой, но и с SSH и любыми другими службами, которые вам нужны.

2) Внесите в белый или черный список IP-адреса из стран, которые вы хотите / не хотите разрешать. например, Вы хотите разрешить SIP-доступ из Китая? Вы можете получить списки IP-адресов из nirsoft

. 3) Если вы выполняете транкинг или соединение с вышестоящим провайдером, посмотрите, можете ли вы получить дневной лимит кредита. Это ограничит размер счета, который вы получите от них, если один из первых двух не сработает. А если вы обнаружите проблему, по крайней мере выиграйте время, прежде чем она действительно выйдет из-под контроля.

При настройке УАТС необходимо учитывать четыре типа безопасности:

1. Периметр
2. Конфигурация Asterisk
3. Обнаружение взлома (обнаружение вторжений)
4. Обнаружение мошенничества

1. Периметр Этот тип безопасности обычно применяется на межсетевом экране (не на УАТС). Большинство межсетевых экранов просто направляют пакеты SIP / IAX / RTP / и т. Д. На УАТС. Таким образом, они действительно не защищают (но они могут, по крайней мере, блокировать соединения SSH / telnet / etc). Первый (принятый) ответ ссылается на правила хоста (PBX) с использованием iptables. Это не рекомендуется - не пропускайте злоумышленников за периметр защиты. Знайте, что злоумышленники / хакеры / мошенники должны быть заблокированы по периметру.

2. Конфигурация Asterisk Сегодня это здравый смысл, и большинство генераторов конфигураций уже позаботятся об этом за вас. Но если вы работаете с Asterisk напрямую, используйте сложные имена устройств и сложные секреты. Отключите гостевой доступ (allowguest) и не разрешайте злоумышленникам осмысленные ответы на сбой (alwaysauthreject). Кроме того, будьте осторожны с командой набора номера (в Asterisk), поскольку неправильный параметр может позволить вызывающему абоненту выполнить мгновенный вызов и набрать любую внешнюю линию. Измените все пароли по умолчанию, не позволяйте Asterisk работать под root, и если вы все же решите использовать генератор конфигурации, измените и пароли по умолчанию там же.

3. Обнаружение взлома (обнаружение вторжений) Такие инструменты, как fail2ban, тривиальны (на самом деле Digium предупреждает пользователей НЕ использовать fail2ban в качестве брандмауэра / устройства безопасности). Тем не менее,если у вас действительно нет навыков, чтобы настроить что-то еще, тогда fail2ban лучше, чем ничего. Большинство людей не понимают, что fail2ban полностью зависит от Asterisk для обнаружения и отклонения попытки набора / регистрации до того, как IP-адрес может быть заблокирован. Поэтому, если атака не вызывает этих ошибок Asterisk, тогда fail2ban ничего не делает. (Кроме того, с помощью fail2ban вы блокируете злоумышленников на УАТС, а не на межсетевом экране.)

Теперь о самом взломе. Как узнать, использует ли злоумышленник искаженные SIP-пакеты? В этом случае загляните в "snort" или другие анализаторы пакетов SIP. Что делать, если злоумышленник перемещается через большую подсеть, если IP-адреса или IP-адреса VPN? Убедитесь, что ваш инструмент обнаружения может это отслеживать. А как насчет блокировки IP на основе геозоны? Продвинутые брандмауэры могут это делать, как и некоторые брандмауэры с открытым исходным кодом, такие как «pfsense» , и проприетарные системы безопасности Asterisk, такие как «SecAst» .

Генераторы конфигурации (например: FreePBX) имеют плохая история безопасности, особенно связанные с эксплойтами в графическом интерфейсе конечного пользователя. Если вы решите предоставить доступ к графическому пользовательскому интерфейсу HTTP в Интернете, вам лучше установить обнаружение взлома на основе хоста, такое как «tripwire» .

4. Обнаружение мошенничества Серьезные хакеры перехватывают пакеты и даже сами взламывают телефоны, чтобы украсть действительные учетные данные. Как остановить хакеров с действующими учетными данными? Есть несколько инструментов с открытым исходным кодом для отслеживания SIP-каналов, которые можно использовать для определения количества каналов по источнику (напишите свои собственные сценарии обнаружения), или коммерческие продукты, такие как «SecAst» , которые отслеживают скорость набора, количество количество вызовов в секунду (поскольку мошенники стремятся использовать учетные данные для мошенничества с телефонной связью до того, как будут отключены добавочные номера / IP-адреса / соединительные линии).

А как насчет обнаружения подозрительного количества вызовов к / от определенных DID, как это часто бывает при мошенничестве с междугородными вызовами . Такие инструменты, как "SecAst" , могут отслеживать их и даже сравнивать с телефонными номерами, которые, как известно, используются для мошенничества (даже если злоумышленник сохраняет низкий общий объем своего канала).

Подобно # 3, если ваш пользователи работают в четко определенных географических областях, а затем в расширениях геозон, даже если у них есть действительные учетные данные. Это могут сделать расширенные межсетевые экраны, а также некоторые межсетевые экраны с открытым исходным кодом, такие как «pfsense» и Cisco, а также проприетарные системы безопасности Asterisk, такие как «SecAst» .

Резюме Таким образом, вы можете и должны сделать МНОГОЕ для защиты своей УАТС. Выше я перечислил несколько продуктов с открытым исходным кодом, которые позволяют достичь разумного уровня безопасности (если у вас достаточно навыков). Я также упомянул некоторые проприетарные инструменты, которые обычно выполняют все вышеперечисленное за вас, но вам придется потратить немного денег на их использование. Однако после вашего первого счета за телефон в 400 000 долларов вы можете обнаружить, что дешево сейчас означает дороже позже (Google счет за телефон на 400 000 долларов, Astricon, и вы поймете, что я имею в виду)