У меня есть рабочая среда asterisk, но я получаю много нежелательного трафика, вроде sip-сканеров людей, которые даже пытаются позвонить в качестве гостя.
Я использую res_pjsip, конфигурация хранится в pjsip.conf. Но я не могу найти такие варианты, как alwaysauthreject
и allowguests
в этой конфигурации.
И я не могу найти ни одной из опций безопасности pjsip на вики. Только для chan_sip.
Может кто подскажет, что эти опции присутствуют в этом драйвере? Или что они были заменены другой функцией.
заранее спасибо
Я нашел ответ.
alwaysauthreject
allowguests
Эти две функции больше не являются частью pjsip.conf и являются стандартными.
Кроме того, вам необходимо защитить свой сервер с помощью брандмауэра и fail2ban. Безопасность должна выполняться на уровне ОС.
В соответствии с этот:
Параметр «alwaysauthreject» отсутствует. Он всегда включен.
Не существует эквивалентной функциональности настроек для «domain» и «allowexternaldomains».
Параметр «allowguest» всегда имеет значение «нет», если только вы не создаете конечную точку с именем «анонимный».
Параметры «запретить» и «разрешить» могут быть установлены на глобальной и конечной основе.
Пример старой конфигурации:
alwaysauthreject=yes
domain = asterisk.mydomain.com
allowexternaldomains = no
allowguest = no
deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0
И как написал автор вопроса, нужно использовать фаервол и fail2ban
.
Вот используемые порты (взяты из Вот):
4569 UDP - IAX / 2, перенаправьте этот порт, если вы приобрели транкинг IAX, IAX может проходить через ваш брандмауэр проще, чем SIP
5060 UDP - SIP
10000 - 20000 UDP - SIP RTP Media (настраивается внутри rtp.conf
)
Неясно, какой тип параметров безопасности вы ищете - поскольку упрощенные ограничения, такие как отказ гостя, требование регистрации и т. Д., Не уменьшат нагрузку, создаваемую сканерами SIP, хакерами, пытающимися проникнуть в систему, и т. Д.
Если вы пытаетесь защитить свой сервер, посетите эту страницу www.voip-info.org для подробностей. Решения варьируются от базовых настроек сервера Asterisk до защиты периметра и расширенной безопасности, такие как плагины Asterisk, которые проверяют исходный IP-адрес злоумышленников для блокировки географических областей, отслеживают эвристические шаблоны атак и т. Д.
Вы обнаружите, что некоторые старые приложения / дополнительные модули борются с PJSIP, но некоторые полностью его поддерживают.