Призрачные вызовы Asterisk

Это происходит из-за автоматических сканеров, которые, вероятно, пытаются подобрать ваши пароли.

Чтобы избавиться от таких вызовов, вы должны отключить анонимных пользователей, поместив следующие параметры в ] [general] раздела вашего sip.conf

[general]
context=bogus
allowguest=no
alwaysauthreject=yes

Если эта проблема возникает только в домашнем местоположении, я бы посмотрел, в чем разница между вашим офисом и домашним местоположением. Я думаю, что это были бы призрачные звонки в офисе и дома, если для этого есть что-то с сервером звездочки / Интернет-соединением.

Я думаю, что могут быть комбинации телефона и домашнего местоположения. Я не знаю, какой телефон вы используете, но вы должны каким-то образом отключить анонимные входящие вызовы на телефонах. Если это проблема, то вам также следует проверить, подключены ли телефоны к общедоступному IP-адресу или маршрутизатор настроен на переадресацию порта 5060 на SIP-телефон (это часто делается для «решения» проблем со звуком)

Если вы если у вас есть sip-клиент / сервер, подключенный к общедоступному IP-адресу на порту 5060, вы получите много попыток подключения / призрачных вызовов от людей, пытающихся использовать ваш кредит для маршрутизации своих SIP-вызовов (у нас был опыт работы с клиентами, его звездочка использовалась телефонной компании, и они перенаправляли телефонные звонки на Кубу в течение нескольких часов в выходные, и эти клиенты теряли, пока его учетная запись не была закрыта. Он потерял около 50 тысяч долларов)

Если вы можете избежать использования порта 5060, вам следует подумать о замене своего sip порт.

Это грубая сила, серверы asterisk всегда получить такую ​​штуку, если подключен к общедоступному IP.

Мои решения:

• Установите fail2ban, fail2ban установит iptables и отклонит IP с постоянными неудачными попытками на звездочку
• Отключить гостевой sip-вход, поставить allowguest = no в sip.conf
• В случае, если вы используете VPN, установите from sip external в своей АТС.
• Установите контекст [по умолчанию]

Ответы на ваши 5 конкретных вопросов:

1. В: Эти звонки исходят из домашней локальной сети этих работодателей? О: Нет - они исходят от сканеров по всему миру. Африка, Палестина и Россия являются одними из наиболее распространенных источников. (Так что может помочь устройство безопасности SIP, которое блокирует на основе Geofencing.)
2. Q: Здесь играет роль сервер Asterisk? О: Да - сканеры нацелены на SIP-порт вашего сервера Asterisk. (Так что может помочь устройство безопасности SIP, которое обнаруживает неправильную структуру пакета, попытки регистрации с недопустимыми учетными данными, попытки дозвона с подозрительной частотой и т. Д.)
3. В: Что может вызвать это? Это вредоносное ПО на ноутбуке? О: Нет - это сканеры SIP и инструменты взлома, запускаемые удаленно с целью поиска слабых мест в вашем стеке SIP, веб-интерфейсе телефона, слабых паролях и т. Д. (Таким образом, система безопасности SIP, которая распознает шаблоны этих инструментов взлома, будет help).
4. Q: Это какой-то безобидный процесс, который подключается к этому телефону и заставляет его думать, что звонок сделан? О: Нет, но имейте в виду, что хакеры ДЕЙСТВИТЕЛЬНО пытаются извлечь действительные учетные данные с телефонов, а затем использовать их для совершения мошенничества с платными вызовами. (Так что может помочь система безопасности SIP, которая обнаруживает украденные учетные данные.)
5. Q: Как мы можем избавиться от этих вызовов? О: Хорошая система безопасности SIP. Простые инструменты, такие как fail2ban, пропускают большинство атак, упомянутых выше (и поэтому Digium рекомендует НЕ использовать fail2ban в качестве системы безопасности).

Также обратите внимание, что Digium предупреждает пользователей, чтобы они не использовали его как таковой (см. эту страницу wiki ).

Прочтите эту вики-страницу , которая знакомит с тем, как защитить вашу установку Asterisk. Настоящая система безопасности SIP отличается от межсетевого экрана и от fail2ban. Более того, система безопасности SIP должна использоваться в дополнение к основным мерам безопасности вашей УАТС.

Как вы сказали, это проблема с домашними / удаленными пользователями в первую очередь вы, скорее всего, увидите две вещи. 1- Это SIP-приглашение, которое они получают, не имеет ничего общего с вашим сервером Asterisk. Я видел исходный IP-адрес неизвестного сервера, а также собственный общедоступный IP-адрес пользователей. 2- Если пользователь поднимает трубку, он сообщит, что слышит «мертвый воздух».

Я видел это в основном у пользователей, использующих клиенты софтфонов SIP, что упрощает сбор сообщений SIP, а также с некоторыми IP-телефонами низкого уровня. Некоторые IP-телефоны включают проверку входящего приглашения SIP, чтобы подтвердить, что запрос исходит от того же IP-адреса, что и регистрация SIP. Если приглашение не проходит эту проверку, устройство не отвечает на недействительное приглашение.

Мне не удалось добавить в закладки найденное мной сообщение в блоге, где они разместили несколько IP-адресов найденных ими сканеров SIP. Однако у большинства домашних пользователей нет сети, способной занести IP-адреса в черный список из списка. Если у вас нет какой-либо системы fail2ban на вашем сервере asterisk, вы должны добавить ее. Вы также должны убедиться, что ваши учетные данные SIP не включают номер ISDN пользователя.

ВАШИ ВОПРОСЫ:

1. Эти звонки исходят из домашней локальной сети этих работодателей? Скорее всего, нет, хотя сообщение SIP может указывать на это. Я предполагаю, что есть небольшая вероятность, что зараженное оборудование в их сети могло бы попытаться сгенерировать это, но, скорее всего, это всего лишь бот, сканирующий все общедоступные IP-адреса.

2. Играет ли здесь роль сервер Asterisk? Ваш сервер Asterisk, скорее всего, не генерирует эти фантомные вызовы. Вы должны иметь возможность просмотреть свои журналы и убедиться, что это не так.

3. Что может вызвать это? Это вредоносное ПО на ноутбуке? Скорее всего, бот пробует публичные IP-адреса. Маловероятно, что проблема связана с вредоносным ПО, но хотя опытные программные телефоны с большей вероятностью будут обрабатывать фантомные приглашения SIP иначе, чем IP-телефоны.

4. Это какой-то безвредный процесс, который подключается к этому телефону и заставляет телефон думать, что был сделан звонок ? Обычно это больше раздражает, чем вредно. Если вы обнаружите, что то же самое происходит на вашем сервере Asterisk, вам необходимо укрепить свой сервер. Было бы сложнее найти способ выставить счет пользователю за услугу по приглашению на устройство конечного пользователя, хотя должна быть какая-то причина, по которой кто-то с самого начала использует эти услуги.

Скорее всего, IP-телефон не проверяет источник входящих приглашений. Это можно включить на большинстве IP-телефонов, и я предлагаю использовать аутентификацию по телефону вместе с регистрацией.