Базовые настройки Asterisk

Обратите внимание – существует реальная опасность взлома!
Злоумышленники используют SIP-сканер для определения корпоративных IP-АТС в сети Интернет. Сканирование производится с различных IP-адресов, зачастую с зарубежных. После идентификации IP-АТС злоумышленники начинают подбор пароля с помощью соответствующего ПО, а после подбора пароля направляют большой объём трафика по дорогим направлениям. Как правило, это происходит ночью или в выходные дни.

В связи с этим рекомендуем Вам:

  • установить надёжный пароль, состоящий не менее чем из 10 знаков, содержащий как цифры, так и буквы
  • ограничить возможность звонков по неиспользуемым направлениям
  • настроить вашу IP-АТС так, чтобы можно было осуществлять звонки только в рабочее время
  • не сообщать пароли третьим лицам и ограничить доступы к IP-АТС

Для Asterisk (до версии 1.6) регистрация транка в файле «/etc/asterisk/sip.conf» должна выглядеть следующим образом:

[general]
defaultexpiry=360
	; время регистрации
transport=udp
disallow=all
	; запрет всех кодеков
allowguest=no
	; запрет любых гостевых вызовов (для безопасности)
allow=alaw
	; разрешение использования кодека G.711-А
dtmfmode=RFC2833
	; метод передачи DTMF
useragent=Plusofon
	; смена имени useragent связана с пассивной безопасностью
nat=force_rport
	; даже если ни одного параметра rport не указано,
	; действовать, как будто он есть
directmedia=yes
	; направление трафика по оптимальному пути,
	; разрешая re-INVITE
alwaysauthreject=yes
	; для ограничения возможности подбора логина/пароля
	; после такой настройки, Asterisk будет отвечать одинаково
	; для любых неверных авторизаций кодом "401 Unauthorized"
	; и не сообщать подробностей
bindport=32560
	; смена стандартного порта на любой отличный, с целью
	; усложнения поиска АТС
 
register => SIP-АККАУНТ:ПАРОЛЬ@АДРЕС.СЕРВЕРА/plusofon
	; строка регистрации с указанием логина, пароля 
	; и адреса SIP-сервера из личного кабинета Плюсофон
 
[plusofon]
type=peer
secret=ПАРОЛЬ
	; пароль от SIP-аккаунта из личного кабинета Плюсофон
username=SIP-АККАУНТ
	; SIP-аккаунт из личного кабинета Плюсофон
host=АДРЕС.СЕРВЕРА
	; SIP-сервер Плюсофон
fromuser=SIP-АККАУНТ
	; ваш SIP-аккаунт из Личного Кабинета
fromdomain=АДРЕС.СЕРВЕРА
	; SIP-сервер Плюсофон
insecure=invite
	; не требовать аутентификации входящих сообщений INVITE
nat=force_rport
	; даже если ни одного параметра rport не указано,
	; действовать, как будто он есть
context=incoming
	; название правила обработки входящих звонков в 'extensions.conf'
dtmfmode=RFC2833
	; метод передачи DTMF
 
@внутренние пользователи
 
[123]
secret=*******
type=friend
host=dynamic
disallow=all
allowguest=no
allow=alaw
dtmfmode=RFC2833
nat=force_rport
alwaysauthreject=yes

Затем необходимо настроить правила распределения звонков в «/etc/asterisk/extensions.conf», например, отправить звонок на учётную запись «123»:

[general]
 
[globals]
 
[default]
exten => _8XXXXXXXXXX,1,Dial(SIP/plusofon/${EXTEN})
	; для исходящих
 
[incoming]
exten =>plusofon,1,Dial(SIP/123) exten =>plusofon,n,Hangup()
	; для входящих

Если регистрация на сервере телефонии пройдена, но в консоли Asterisk-а нет входящих звонков, то:

  • необходимо проверить наличие в файерволе разрешающего правила для приёма входящих соединений с SIP-сервера Плюсофон
  • необходимо убедиться, что в настройках Asterisk-а проблемный транк является доверенным и по нему Asterisk не запрашивает авторизацию у сервера телефонии (в этом случае может помочь настройка «insecure»)

Если регистрация на сервере телефонии пройдена, в консоли Asterisk-а входящие видно, но желаемая схема не отрабатывает, то:

  • либо желаемая схема настроена с ошибками
  • либо входящая маршрутизация настроена с ошибками

В таком случае стоит ещё раз проверить настроенную схему.


При необходимости, Вы можете обратиться к справочной документации по Asterisk, например, на официальном Wiki-ресурсе wiki.asterisk.org.