Мы запускаем звездочку в дистрибутиве freePBX.
Система работает только один день.
Когда я вошел в asterisk с терминала, система генерировала множество неожиданных сообщений, как показано ниже.
[2016-07-14 14:34:46] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"90" <sip:90@xx.xx.xx.xx>' failed
for '91.236.74.186:5099' (callid: cd6919a5-58a4494-578ccc46@xx.xx.xx.xx) -
No matching endpoint found
[2016-07-14 14:34:46] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"90" <sip:90@xx.xx.xx.xx>' failed for
'91.236.74.186:5099' (callid: cd6919a5-58a4494-578ccc46@xx.xx.xx.xx) - No
matching endpoint found
[2016-07-14 14:34:46] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"90" <sip:90@xx.xx.xx.xx>' failed
for '91.236.74.186:5099' (callid: cd6919a5-58a4494-578ccc46@xx.xx.xx.xx) -
No matching endpoint found
[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" <sip:66666@xx.xx.xx.x>'
failed for '91.236.74.186:5066' (callid: cd692628-58a449e-578ccc49@xx.xx.xx.xx) -
No matching endpoint found
[2016-07-14 14:34:49] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" <sip:66666@xx.xx.xx.xx>' failed
for '91.236.74.186:5066' (callid: cd692628-58a449e-578ccc49@xx.xx.xx.xx) - No
matching endpoint found
[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666"
<sip:66666@xx.xx.xx.xx>' failed for '91.236.74.186:5066'
(callid: cd692628-58a449e-578ccc49@xx.xx.xx.xx) - No matching endpoint found
[2016-07-14 14:34:49] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" <sip:66666@xx.xx.xx.xx>'
failed for '91.236.74.186:5066' (callid: cd692628-58a449e-
578ccc49@xx.xx.xx.xx) - No matching endpoint found
[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" <sip:66666@xx.xx.xx.xx>'
failed for '91.236.74.186:5066' (callid: cd692628-58a449e-578ccc49@xx.xx.xx.xx) -
No matching endpoint found
Мы не настроили ни одно из этих расширений, поэтому я не понимаю, как они генерируют запрос.
Сначала я заблокировал трафик с IP-адреса в уведомлении, и уведомления прекратились на короткое время. Затем снова начались уведомления, но в тексте уведомления был указан другой IP-адрес. Я также заблокировал этот IP-адрес, но это не повлияло на частоту появления сообщения.
Я заблокировал адреса с помощью брандмауэра Sangoma.
Буду признателен за любую помощь в попытке понять, что происходит. Спасибо.
Примечание: в каждом случае xx.xx.xx.xx был одним и тем же номером, это был наш IP-адрес.
Поскольку я отвечал на этот вопрос в комментариях, я подумал, что было бы правильнее поставить его здесь:
Для вашей УАТС (или любой другой службы) нет ничего необычного в том, что роботы / хакеры / что-то еще зондируют, когда вы выходите в Интернет ... Это происходит с веб-серверами, SSH, SMTP и т.д. ... все время. Пока вы открыты для доступа в Интернет без ограничений, вы будете видеть такие вещи.
Я не использую res_pjsip, но похоже, что вы получаете попытки вызова несуществующих пунктов назначения. Просмотрите другие журналы, включите отладку или включите отладку на консоли, чтобы узнать, для чего нужны эти запросы, если вы хотите знать.
В какой-то момент я лично получал попытки звонить в Ливан по несколько раз в день каждый день (которые так и не были реализованы). У меня также были люди, пытающиеся позвонить на все внутренние добавочные номера (некоторые прошли!) ...
Так что, если это вас беспокоит, заблокируйте его. Используйте SSL, ограничивайте соединения по IP, не используйте номера для своих учетных записей SIP, возможно, используйте VPN. Все, что работает. Если вы должны оставить его широко открытым для Интернета, убедитесь, что все настроено очень надежно, и эти попытки ни к чему не приведут. Точно так же, как попытки взломать серверы через HTTP / SMTP ни к чему не приводят, если серверы настроены безопасно.
Что касается вашего последнего вопроса, я не знаю, почему IP-адреса не блокируются после нескольких неудачных попыток. Они должны?
Многие люди думают, что межсетевой экран - это система безопасности для АТС. Это не. Если вы перенаправляете SIP и RTP в свою УАТС через брандмауэр, то ваш брандмауэр действует только как маршрутизатор (с точки зрения VoIP). Отсутствует проверка допустимых пользователей, устройств, географического местоположения, схем набора, поведения пользователей и т. Д.
Настройка базовой безопасности для Asterisk очень важна - есть уязвимости в Asterisk / SIP, которые могут быть использованы, и даже больше в генераторах конфигурации (Elastix / FreePBX / и т. Д.). Например, слабость графического интерфейса FreePBX в прошлом году позволила злоумышленникам переписать планы набора, позволяющие им звонить кому угодно, в любое время и т. Д. (И соответствующие счета за телефонные звонки на сумму более 100 тысяч долларов, за которые вы несете ответственность). Опять же, брандмауэры в этом случае ничего не делают. Ради интереса, за один уик-энд погуглите мошенничество с АТС Asterisk стоимостью 400 тысяч долларов и посмотрите видео (презентация Astricon)!
Взгляни на Информация о VoIP для хорошего введения в обеспечение безопасности вашей АТС (это факты - реальность безопасности VoIP, а не мнение / точка зрения).
Если это небольшая установка (а я подозреваю, что это так), установите бесплатную версию SecAst чтобы обезопасить вашу АТС.