Призрачные звонки Asterisk

Проблема

У нас есть внешний сервер Asterisk. В четырех местах мы получали призрачные звонки. Это звонки с разными номерами, например 1000, 9999 или 6060. Мы не используем ни эти номера, ни даже этот диапазон.

NB: я спросил вопрос об этом раньше, но это не привело к решению.

Некоторое время назад у одного телефона (123) была такая проблема. Этим телефоном пользовался дома работодатель. Заказал обратно и дал работодателю новый телефон с новым номером (124). Я подключил 123-й телефон в своем офисе, и никогда не было проблем. У 124-го телефона начались проблемы через несколько недель, так что не сразу.

Мне это кажется проблемой, которая возникает в домашней сети сотрудника.

У нас была эта проблема в трех разных домах.
У всех этих пользователей дома есть маршрутизаторы, поэтому телефоны напрямую не подключены к Интернету.
У нас нет этой проблемы в офисе, я полагаю, у нас там лучшая защита.
Проблемы не остаются навсегда. Они приходят и уходят, потом возвращаются.

Я несколько раз просматривал журналы Asterisk, но не нашел ничего связанного.

Вопросы

Хотелось бы узнать, как это работает.

Эти звонки исходят из домашней локальной сети этих работодателей?
Здесь играет роль сервер Asterisk?
Что может вызвать это? Это вредоносное ПО на ноутбуке?
Это какой-то безобидный процесс, который подключается к этому телефону и заставляет телефон думать, что звонок сделан?

И конечно:

Как мы можем избавиться от этих звонков?

Это грубая сила, серверы asterisk всегда получают такие вещи, если они подключены к общедоступному IP.

Мои решения:

Установите fail2ban, fail2ban установит iptables и отклонит ip с постоянными неудачными попытками на звездочку
Отключить гостевой sip логин, поставить allowguest=no в sip.conf
Если вы используете VPN, установите from sip external в своей АТС.
Установить [default] контекст пустым.

Это происходит из-за автоматических сканеров, которые, вероятно, пытаются подобрать ваши пароли.

Чтобы избавиться от таких вызовов, вам следует отключить анонимных пользователей, поместив следующие параметры в [general] раздел вашего sip.conf

[general]
context=bogus
allowguest=no
alwaysauthreject=yes

Как вы заявили, это проблема домашних / удаленных пользователей, в первую очередь, они, скорее всего, увидят две вещи. 1- Это SIP-приглашение, которое они получают, не имеет ничего общего с вашим сервером Asterisk. Я видел исходный IP-адрес неизвестного сервера, а также собственный общедоступный IP-адрес пользователей. 2- Если пользователь поднимает трубку, он сообщит, что слышит мертвый воздух.

Я наблюдал это в основном у пользователей, использующих клиенты софтфонов SIP, что упрощает сбор сообщений SIP, а также у некоторых IP-телефонов низкого уровня. Некоторые IP-телефоны включают проверку входящего приглашения SIP, чтобы подтвердить, что запрос исходит от того же IP-адреса, что и регистрация SIP. Если приглашение не прошло эту проверку, устройство не отвечает на недопустимое приглашение.

Мне не удалось добавить в закладки сообщение в блоге, которое я нашел, где они разместили несколько IP-адресов найденных ими SIP-сканеров. Однако у большинства домашних пользователей нет сети, способной занести IP-адреса в черный список из списка. Если у вас нет какой-либо системы fail2ban на вашем сервере asterisk, вы должны добавить ее. Вы также должны убедиться, что ваши учетные данные SIP не включают номер ISDN пользователя.

ВАШИ ВОПРОСЫ:

Эти звонки исходят из домашней локальной сети этих работодателей? Скорее всего, нет, хотя сообщение SIP может указывать на это. Я предполагаю, что есть небольшая вероятность, что зараженное оборудование в их сети может попытаться сгенерировать это, но, скорее всего, это просто бот, сканирующий все общедоступные IP-адреса.
Здесь играет роль сервер Asterisk? Ваш сервер Asterisk, скорее всего, не генерирует эти фантомные вызовы. Вы можете просмотреть свои журналы и убедиться, что это не так.
Что может вызвать это? Это вредоносное ПО на ноутбуке? Скорее всего, бот пробует публичные IP-адреса. Проблема заключается в маловероятном вредоносном ПО, но, хотя опытные программные телефоны более склонны обрабатывать фантомные SIP-приглашения иначе, чем IP-телефоны.
Это какой-то безобидный процесс, который подключается к этому телефону и заставляет телефон думать, что звонок сделан? Обычно это больше раздражает, чем вредно. Если вы обнаружите, что то же самое происходит на вашем сервере Asterisk, вам необходимо укрепить свой сервер. По приглашению на устройство конечного пользователя будет сложнее найти способ выставить счет пользователю за услугу, хотя должна быть какая-то причина, по которой кто-то с самого начала использует эти услуги.

Ответы на 5 ваших конкретных вопросов:

В: Эти звонки исходят из домашней локальной сети этих работодателей? О: Нет - они исходят от сканеров по всему миру. Африка, Палестина и Россия являются одними из наиболее распространенных источников. (Так что может помочь устройство безопасности SIP, которое блокирует на основе Geofencing).
В: Здесь играет роль сервер Asterisk? О: Да - сканеры нацелены на SIP-порт вашего сервера Asterisk. (Так что может помочь устройство безопасности SIP, которое обнаруживает плохую структуру пакета, пытается зарегистрироваться с недопустимыми учетными данными, пытается дозвониться с подозрительной частотой и т. Д.).
В: Что может вызвать это? Это вредоносное ПО на ноутбуке? О: Нет - это сканеры SIP и инструменты взлома, запускаемые удаленно с целью поиска слабых мест в вашем стеке SIP, веб-интерфейсе телефона, слабых паролях и т. Д. (Таким образом, система безопасности SIP, которая распознает шаблоны этих инструментов взлома, будет Помогите).
В: Это какой-то безобидный процесс, который подключается к этому телефону и заставляет телефон думать, что звонок сделан? О: Нет, но имейте в виду, что хакеры ДЕЙСТВИТЕЛЬНО пытаются извлечь действительные учетные данные с телефонов, а затем использовать их для совершения мошенничества с платой за проезд. (Так что поможет система безопасности SIP, которая обнаруживает украденные учетные данные).
В: Как мы можем избавиться от этих звонков? О: Хорошая система безопасности SIP. Простые инструменты, такие как fail2ban, пропускают большинство атак, упомянутых выше (и поэтому Digium рекомендует НЕ использовать fail2ban в качестве системы безопасности).

Также обратите внимание, что Digium предупреждает пользователей не использовать его как таковой (см. эта страница вики).

Прочитать эта страница вики который знакомит с тем, как защитить вашу установку Asterisk. Настоящая система безопасности SIP отличается от межсетевого экрана и от fail2ban. Более того, система безопасности SIP должна использоваться в дополнение к основным мерам безопасности вашей УАТС.

Если эта проблема возникает только в домашнем местоположении, я бы посмотрел, в чем разница между вашим офисным местоположением и домашним местоположением. Я думаю, это будут призрачные звонки в офисе и дома, если для этого есть что-то с сервером звездочки / подключением к Интернету.

Думаю, могут быть комбинации телефона и домашнего местоположения. Я не знаю, какой телефон вы используете, но вы должны каким-то образом отключить анонимные входящие вызовы на телефонах. Если это проблема, вам также следует проверить, подключены ли телефоны к общедоступному IP-адресу или маршрутизатор настроен на переадресацию порта 5060 на SIP-телефон (это часто делается для «решения» проблем со звуком).

Если у вас есть sip-клиент / сервер, подключенный к общедоступному IP-адресу на порту 5060, вы получите много попыток подключения / призрачных вызовов от людей, пытающихся использовать ваш кредит для маршрутизации своих SIP-вызовов (у нас был опыт клиентов, он получил звездочку использовался телефонной компанией, и они перенаправляли телефонные звонки на Кубу в течение нескольких часов в выходные, и эти клиенты теряли, пока его учетная запись не была закрыта. Он потерял около 50 тысяч долларов)

Если вы можете избежать использования порта 5060, вам следует подумать о смене порта sip.

Скорее всего, IP-телефон не проверяет источник входящих приглашений. Это можно включить на большинстве IP-телефонов, и я предлагаю использовать аутентификацию по телефону вместе с регистрацией.