Обратите внимание – существует реальная опасность взлома!
Злоумышленники используют SIP-сканер для определения корпоративных IP-АТС в сети Интернет. Сканирование производится с различных IP-адресов, зачастую с зарубежных. После идентификации IP-АТС злоумышленники начинают подбор пароля с помощью соответствующего ПО, а после подбора пароля направляют большой объём трафика по дорогим направлениям. Как правило, это происходит ночью или в выходные дни.
В связи с этим рекомендуем Вам:
-
установить надёжный пароль, состоящий не менее чем из 10 знаков, содержащий как цифры, так и буквы
-
ограничить доступы к IP-АТС и не сообщать пароли третьим лицам
-
ограничить возможность звонков по неиспользуемым направлениям
-
настроить вашу IP-АТС так, чтобы можно было осуществлять звонки только в рабочее время
¶ Регистрация транка
Для Asterisk регистрация транка в файле /etc/asterisk/sip.conf должна выглядеть следующим образом:
[general]
defaultexpiry=360
; время регистрации
transport=udp
disallow=all
; запрет всех кодеков
allowguest=no
; запрет любых гостевых вызовов (для безопасности)
allow=alaw
; разрешение использования кодека G.711-А
dtmfmode=RFC2833
; метод передачи DTMF
useragent=Plusofon
; смена имени useragent связана с пассивной безопасностью
directmedia=yes
; направление трафика по оптимальному пути,
; разрешая re-INVITE
alwaysauthreject=yes
; для ограничения возможности подбора логина/пароля
; после такой настройки, Asterisk будет отвечать одинаково
; для любых неверных авторизаций кодом "401 Unauthorized"
; и не сообщать подробностей
bindport=32560
; смена стандартного порта на любой отличный, с целью
; усложнения поиска АТС
; ВАЖНО: именно этот порт необходимо указывать в настройках
; файрвола вместо стандартного 5060
register => SIP-АККАУНТ:ПАРОЛЬ@АДРЕС.СЕРВЕРА/plusofon
; строка регистрации с указанием логина, пароля
; и адреса SIP-сервера из личного кабинета Плюсофон
[plusofon]
type=peer
secret=ПАРОЛЬ
; пароль от SIP-аккаунта из личного кабинета Плюсофон
username=SIP-АККАУНТ
; SIP-аккаунт из личного кабинета Плюсофон
host=АДРЕС.СЕРВЕРА
; SIP-сервер Плюсофон
fromuser=SIP-АККАУНТ
; ваш SIP-аккаунт из Личного Кабинета
fromdomain=АДРЕС.СЕРВЕРА
; SIP-сервер Плюсофон
insecure=invite,port
; не требовать аутентификации входящих сообщений INVITE
nat=force_rport,comedia
; даже если ни одного параметра rport не указано,
; действовать, как будто он есть
context=outgoing
; название правила обработки входящих звонков в 'extensions.conf'
dtmfmode=RFC2833
; метод передачи DTMF
@внутренние пользователи
[123]
secret=*******
type=friend
host=dynamic
disallow=all
allowguest=no
allow=alaw
dtmfmode=RFC2833
nat=force_rport
alwaysauthreject=yes
context=outgoing
¶ Распределение вызовов
Правила распределения вызовов настраиваются в файле /etc/asterisk/extensions.conf, например, отправка вызова на учётную запись «123» выглядит так:
[general]
[globals]
[outgoing]
exten => _8XXXXXXXXXX,1,Dial(SIP/plusofon/${EXTEN})
; для исходящих
[default]
exten =>plusofon,1,Dial(SIP/123) exten =>plusofon,n,Hangup()
; для входящих
¶ Возможные ошибки
Если регистрация на сервере телефонии пройдена, но в консоли Asterisk нет входящих вызовов, то:
-
необходимо проверить наличие в файрволе разрешающего правила для приёма входящих соединений с SIP-сервера Плюсофон
-
необходимо убедиться, что в настройках Asterisk проблемный транк является доверенным и по нему Asterisk не запрашивает авторизацию у сервера телефонии (в этом случае может помочь настройка «insecure»)
Если регистрация на сервере телефонии пройдена, в консоли Asterisk видно входящие вызовы, но желаемая схема не отрабатывает, то либо желаемая схема настроена с ошибками, либо входящая маршрутизация настроена с ошибками. В таком случае стоит ещё раз проверить настроенную схему.
При необходимости, Вы можете обратиться к справочной документации по Asterisk, например, на официальном Wiki-ресурсе wiki.asterisk.org.
