Назад | Перейти на главную страницу

Новая опция безопасности драйвера PJSIP для Asterisk

У меня есть рабочая среда asterisk, но я получаю много нежелательного трафика, вроде sip-сканеров людей, которые даже пытаются позвонить в качестве гостя.

Я использую res_pjsip, конфигурация хранится в pjsip.conf. Но я не могу найти такие варианты, как alwaysauthreject и allowguests в этой конфигурации.

И я не могу найти ни одной из опций безопасности pjsip на вики. Только для chan_sip.

Может кто подскажет, что эти опции присутствуют в этом драйвере? Или что они были заменены другой функцией.

заранее спасибо

Я нашел ответ.

alwaysauthreject
allowguests

Эти две функции больше не являются частью pjsip.conf и являются стандартными.

Кроме того, вам необходимо защитить свой сервер с помощью брандмауэра и fail2ban. Безопасность должна выполняться на уровне ОС.

В соответствии с этот:

Параметр «alwaysauthreject» отсутствует. Он всегда включен.

Не существует эквивалентной функциональности настроек для «domain» и «allowexternaldomains».

Параметр «allowguest» всегда имеет значение «нет», если только вы не создаете конечную точку с именем «анонимный».

Параметры «запретить» и «разрешить» могут быть установлены на глобальной и конечной основе.

Пример старой конфигурации:

alwaysauthreject=yes

domain = asterisk.mydomain.com

allowexternaldomains = no

allowguest = no

deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0

И как написал автор вопроса, нужно использовать фаервол и fail2ban.

Вот используемые порты (взяты из Вот):

  • 4569 UDP - IAX / 2, перенаправьте этот порт, если вы приобрели транкинг IAX, IAX может проходить через ваш брандмауэр проще, чем SIP

  • 5060 UDP - SIP

  • 10000 - 20000 UDP - SIP RTP Media (настраивается внутри rtp.conf)

Неясно, какой тип параметров безопасности вы ищете - поскольку упрощенные ограничения, такие как отказ гостя, требование регистрации и т. Д., Не уменьшат нагрузку, создаваемую сканерами SIP, хакерами, пытающимися проникнуть в систему, и т. Д.

Если вы пытаетесь защитить свой сервер, посетите эту страницу www.voip-info.org для подробностей. Решения варьируются от базовых настроек сервера Asterisk до защиты периметра и расширенной безопасности, такие как плагины Asterisk, которые проверяют исходный IP-адрес злоумышленников для блокировки географических областей, отслеживают эвристические шаблоны атак и т. Д.

Вы обнаружите, что некоторые старые приложения / дополнительные модули борются с PJSIP, но некоторые полностью его поддерживают.