Вопросы Теги

Звездочка новый параметр безопасности драйвера PJSIP

У меня есть рабочая среда звездочки, но я получаю большой нежелательный трафик, как сканеры глотка людей, которые даже пытаются звонить как гость.

Я использую res_pjsip, конфигурация хранится в pjsip.conf. Но я не могу найти опции как alwaysauthreject и allowguests в этой конфигурации.

И я не могу найти ни один из параметров безопасности pjsip на Wiki. Только для chan_sip.

Кто-то может сказать мне, что эти опции присутствуют в этом драйвере? Или это у них есть ben, замененный другой функцией.

Заранее спасибо

0
задан 26 March 2015 в 10:27
3 ответа

Я нашел ответ. 

alwaysauthreject
allowguests

Эти две функции больше не являются частью pjsip.conf и являются стандартными.

Кроме того, вам необходимо защитить свой сервер с помощью брандмауэра и fail2ban. . Безопасность должна выполняться на уровне ОС.

0
ответ дан 5 December 2019 в 12:53

Непонятно, какой тип параметров безопасности вы ищете - поскольку упрощенные ограничения, такие как отказ гостя, требование регистрации и т. Д., Не уменьшат нагрузку, создаваемую сканерами SIP, хакерами, пытающимися проникнуть внутрь, и т. Д.

Если вы пытаетесь защитить свой сервер. Подробности см. на этой странице www.voip-info.org . Решения варьируются от базовых настроек сервера Asterisk до защиты периметра и расширенной безопасности, например подключаемых модулей Asterisk, которые проверяют исходный IP-адрес злоумышленников для блокировки географических областей, следят за эвристическими шаблонами атак и т. Д.

Вы обнаружите, что некоторые старые приложения / Плюсы борются с PJSIP, но некоторые полностью его поддерживают.

0
ответ дан 5 December 2019 в 12:53

Согласно это :

Нет опции для «alwaysauthreject». Он всегда включен.

Не существует эквивалентной функциональности настроек для «домена» и «Allowexternaldomains».

Параметр «allowguest» всегда установлен на no, если вы не создаете конечная точка с именем «анонимная».

Параметры «запретить» и «разрешить» могут быть установлены в глобальной и конечной точках. основание.

Пример старой конфигурации: 

alwaysauthreject=yes

domain = asterisk.mydomain.com

allowexternaldomains = no

allowguest = no

deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0

И как написал автор вопроса, вы должны использовать межсетевой экран и fail2ban .

Вот используемые порты (взяты из здесь ):

  • 4569 UDP - IAX / 2, перенаправить этот порт, если вы приобрели транкинг IAX, IAX может проходить через ваш брандмауэр проще, чем SIP

  • 5060 UDP - SIP

  • 10000 - 20000 UDP - SIP RTP Media (настраивается внутри rtp.conf )

0
ответ дан 8 January 2020 в 17:18

Теги

Похожие вопросы