Существует реальная опасность взлома! Злоумышленники используют SIP-сканер для определения корпоративных IP-АТС в сети Интернет. Сканирование производится с различных IP-адресов, зачастую с зарубежных. После идентификации IP-АТС злоумышленники начинают подбор пароля с помощью соответствующего ПО, а после подбора пароля направляют большой объём трафика по дорогим направлениям. Как правило, это происходит ночью или в выходные дни.

В связи с этим рекомендуем Вам:

  • установить надёжный пароль, состоящий не менее чем из 10 знаков, содержащий как цифры, так и буквы
  • настроить вашу IP-АТС так, чтобы можно было осуществлять звонки только в рабочее время
  • ограничить возможность звонков по неиспользуемым направлениям
  • не разглашать пароль третьим лицам и ограничить доступ к IP-АТС


 

Для Asterisk (до версии 1.6) регистрация транка должна выглядеть следующим образом:

файл "/etc/asterisk/sip.conf"

  1. [general]
  2. defaultexpiry=360
  3. 	; время регистрации
  4. transport=udp
  5. disallow=all
  6. 	; запрет всех кодеков
  7. allowguest=no
  8. 	; запрет любых гостевых вызовов (для безопасности)
  9. allow=alaw
  10. 	; разрешение использования кодека G.711-А
  11. dtmfmode=RFC2833
  12. 	; метод передачи DTMF
  13. useragent=Plusofon
  14. 	; смена имени useragent связана с пассивной безопасностью
  15. nat=force_rport
  16. 	; даже если ни одного параметра rport не указано,
  17. 	; действовать, как будто он есть
  18. directmedia=yes
  19. 	; направление трафика по оптимальному пути,
  20. 	; разрешая re-INVITE
  21. alwaysauthreject=yes
  22. 	; для ограничения возможности подбора логина/пароля
  23. 	; после такой настройки, Asterisk будет отвечать одинаково
  24. 	; для любых неверных авторизаций кодом "401 Unauthorized"
  25. 	; и не сообщать подробностей
  26. bindport=32560
  27. 	; смена стандартного порта на любой отличный, с целью
  28. 	; усложнения поиска АТС
  29.  
  30. register => SIP-АККАУНТ:ПАРОЛЬ@sip.plusofon.ru/plusofon
  31. 	; строка регистрации с указанием логина и пароля
  32. 	; из личного кабинета Плюсофон
  33.  
  34. [plusofon]
  35. type=peer
  36. secret=ПАРОЛЬ
  37. 	; пароль от SIP-аккаунта из личного кабинета Плюсофон
  38. username=SIP-АККАУНТ
  39. 	; SIP-аккаунт из личного кабинета Плюсофон
  40. host=sip.plusofon.ru
  41. 	; SIP-сервер Плюсофон
  42. fromuser=SIP-АККАУНТ
  43. 	; ваш SIP-аккаунт из Личного Кабинета
  44. fromdomain=sip.plusofon.ru
  45. 	; SIP-сервер Плюсофон
  46. insecure=invite
  47. 	; не требовать аутентификации входящих сообщений INVITE
  48. nat=force_rport
  49. 	; даже если ни одного параметра rport не указано,
  50. 	; действовать, как будто он есть
  51. context=incoming
  52. 	; название правила обработки входящих звонков в 'extensions.conf'
  53. dtmfmode=RFC2833
  54. 	; метод передачи DTMF
  55.  
  56. @внутренние пользователи
  57.  
  58. [123]
  59. secret=*******
  60. type=friend
  61. host=dynamic
  62. disallow=all
  63. allowguest=no
  64. allow=alaw
  65. dtmfmode=RFC2833
  66. nat=force_rport
  67. alwaysauthreject=yes

Затем необходимо создать правила распределения звонков в "/etc/asterisk/extensions.conf", например, отправить звонок на учётную запись "123":

  1. [general]
  2.  
  3. [globals]
  4.  
  5. [default]
  6. exten => _8XXXXXXXXXX,1,Dial(SIP/plusofon/${EXTEN})
  7. 	; для исходящих
  8.  
  9. [incoming]
  10. exten =>plusofon,1,Dial(SIP/123) exten =>plusofon,n,Hangup()
  11. 	; для входящих


 

Если регистрация на сервере телефонии пройдена, но в консоли Asterisk-а нет входящих звонков, то:

  • необходимо проверить наличие в файерволе разрешающего правила для приёма входящих соединений с сервера телефонии "sip.plusofon.ru"
  • необходимо убедиться, что в настройках Asterisk-а проблемный транк является доверенным и по нему Asterisk не запрашивает авторизацию у сервера телефонии (в этом случае может помочь настройка "insecure")

 

Если регистрация на сервере телефонии пройдена, в консоли Asterisk-а входящие видно, но желаемая схема не отрабатывает, то:

  • либо желаемая схема настроена с ошибками
  • либо входящая маршрутизация настроена с ошибками

В таком случае стоит ещё раз проверить настроенную схему.

 

При необходимости Вы можете обратиться к справочной документации по Asterisk, например, на официальном Wiki-ресурсе wiki.asterisk.org.

 


[feedback]