Asterisk новая опция безопасности драйвера PJSIP

У меня есть рабочая среда звездочки, но я получаю много нежелательного трафика, например, sip-сканеры людей, которые даже пытаются позвонить в качестве гостя.

Я использую res_pjsip, конфигурация хранится в pjsip.conf. Но я не могу найти варианты, как alwaysauthreject а также allowguests в этой конфигурации.

И я не могу найти ни одного из параметров безопасности pjsip в вики. Только для chan_sip.

Может кто-нибудь сказать мне, что эти опции присутствуют в этом драйвере? Или что они заменены другой функцией.

заранее спасибо

Источник

2 ответа

Решение

Я нашел ответ.

alwaysauthreject
allowguests

Эти 2 функции больше не являются частью pjsip.conf и являются стандартными.

Кроме того, вам нужно защитить свой сервер с помощью брандмауэра и fail2ban. Безопасность должна быть сделана на уровне ОС.

Источник

Непонятно, какой тип безопасности вы ищете - поскольку упрощенные ограничения, такие как отказ от гостя, регистрация и т. Д., Не уменьшат нагрузку, создаваемую SIP-сканерами, хакерами, пытающимися войти, и т. Д.

Если вы пытаетесь защитить свой сервер, зайдите на эту страницу www.voip-info.org для получения подробной информации. Решения варьируются от базовых настроек сервера Asterisk до защиты периметра и расширенной защиты, например, подключаемых модулей Asterisk, которые проверяют исходный IP-адрес злоумышленников для блокирования географических областей, отслеживания эвристических атак и т. Д.

Вы обнаружите, что некоторые старые приложения / надстройки борются с PJSIP, но некоторые полностью поддерживают его.

Источник

Согласно этому:

Параметр "alwaysauthreject" отсутствует. Он всегда включен.

Не существует эквивалентной функциональности настроек для "domain" и "allowexternaldomains".

Параметр "allowguest" всегда имеет значение "нет", если только вы не создаете конечную точку с именем "анонимный".

Параметры "запретить" и "разрешить" могут быть установлены на глобальной и конечной основе.

Пример старой конфигурации:

alwaysauthreject=yes

domain = asterisk.mydomain.com

allowexternaldomains = no

allowguest = no

deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0

И как написал автор вопроса, нужно использовать фаервол и fail2ban.

Вот используемые порты (взятые отсюда):

  • 4569 UDP - IAX / 2, перенаправить этот порт, если вы приобрели транкинг IAX, IAX может проходить через ваш брандмауэр проще, чем SIP

  • 5060 UDP - SIP

  • 10000 - 20000 UDP - SIP RTP Media (настраивается внутри rtp.conf)

Источник
Другие вопросы по тегам