服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 星号幽灵电话
Intereting Posts
如何dynamic生成$ LocalHostName的值rsyslog Spamassassin DKIM DNS问题 HP ProLiant DL380 Gen9中的三星SM863 SSD磁盘 如果发生停机,您如何redirectDNS? Plesk,重新安装“Parallels Premium传出反垃圾邮件” Nagios / NSCA:命令文件'/var/nagios/rw/nagios.cmd'不存在 如何设置ISP提供的IP范围? 受损的Amazon SES SMTP凭据的风险? Google.com总是将我转到google.com.hk 我的企业代理可以知道https请求的内容吗? Windows – 将更改logging到证书存储区 将RDP证书更改为SHA-2 通过Kerberos使用SSH密钥 TWiki mailnotify邮件没有被发送 将IP分配给程序/进程

星号幽灵电话

问题

我们有一个外部托pipe的Asterisk服务器。 在四个地方,我们已经得到了幽灵电话。 这些是不同的号码,如1000,9999或6060的呼叫。我们不使用这些数字,甚至没有这个范围。

注意:之前我已经提出了一个关于这个问题的问题 ,但是这并没有解决问题。

前一个电话(123)有这个问题。 这个电话是由雇主在家使用的。 我订了回来,给雇主一个新的电话号码(124)。 我在办公室连接了123电话,从来没有问题。 124电话在几个星期后开始出现问题,所以不是马上。

对我来说,这似乎是一个起源于员工家庭networking的问题。

  • 我们在三个不同的家庭中遇到了这个问题。
  • 所有这些用户在家中都有路由器,所以电话没有直接连接到互联网。
  • 我们在办公室没有遇到这个问题,我想我们在那里有更好的保护。
  • 问题不会永远停留。 他们来来往往,然后回来。

我查了几次Asterisk日志,但找不到任何相关的东西。

问题

我想知道这是如何工作的。

  • 这些电话是来自这些雇主的家庭局域网吗?
  • Asterisk服务器在这里扮演一个angular色吗?
  • 什么可以导致这个? 这是在笔记本电脑上的恶意软件?
  • 连接到这个电话,并导致电话认为打了电话是一个无耻的过程?

而且当然:

  • 我们怎样才能摆脱这些电话?

这是一个蛮力,如果连接到公共IP,星号服务器总是会得到那样的东西。

我的解决scheme是:

  • 安装fail2ban,fail2ban会设置iptables并拒绝连续的失败尝试星号
  • 禁用来宾siplogin,把allowguest=no放在sip.conf
  • 如果您使用的是VPN,请在您的PBX中设置外部SIP
  • [default]上下文设置为空。

这是由于自动扫描仪,这可能是试图暴力破解你的密码。

要摆脱这种调用,您应该通过将以下选项放入sip.conf[general]部分来禁用匿名用户 

 [general] context=bogus allowguest=no alwaysauthreject=yes

正如你所说,这是家庭/远程用户的问题,主要是他们很可能会看到两件事情。 1-这个SIP邀请他们收到与你Asterisk服务器无关。 我已经看到源IP是一个未知的服务器,以及用户自己的家庭公共IP。 2-如果用户拿起,他们会报告听到死气。

我主要看到使用SIP软电话客户端的用户,这使得更容易收集SIP消息和一些低端IP电话。 一些IP电话包括对传入SIP邀请的检查以确认请求来自与SIP注册相同的IP。 如果邀请失败,则检查设备是否不响应无效邀请。

我没有收到博客文章的书签,我发现他们发现了几个他们发现的SIP扫描器的IP地址。 然而,大多数家庭用户没有能够从列表中列出IP的networking。 如果你在asterisk服务器上没有fail2ban系统,你应该添加它。 您还应该确保您的SIP凭证不包含用户的ISDN号码。

你的问题:

  1. 这些电话是来自这些雇主的家庭局域网吗? 它们很可能不是,尽pipeSIP消息可能表明这一点。 我想有一个小的机会,他们的networking上的受感染的硬件可能试图产生这个,但更有可能它只是一个机器人扫描所有的公共IP地址。

  2. Asterisk服务器在这里扮演一个angular色吗? 您的Asterisk服务器很可能不会生成这些幻像呼叫。 你应该能够看看你的日志,并确认它不是。

  3. 什么可以导致这个? 这是在笔记本电脑上的恶意软件? 很可能是一个试图公开IP的机器人。 不太可能的恶意软件是这个问题,但尽pipe经验软电话更有可能处理幽灵SIP邀请不同,然后IP电话。

  4. 连接到这个电话,并导致电话认为打了电话是一个无耻的过程? 通常这是更烦人,然后有害的。 如果您在Asterisk服务器上发现相同的事情,则需要加固服务器。 向最终用户设备发出邀请将很难find向用户提供服务的方法,但是为什么有人要跨越这些服务来开始。

解答你的5个具体问题:

  1. 问:这些电话是来自这些雇主的家庭局域网吗? 答:不 – 他们来自世界各地的扫描仪。 非洲,巴勒斯坦和俄罗斯是最常见的一些来源。 (所以基于Geofencing的SIP安全设备将会有所帮助)。
  2. 问:Asterisk服务器在这里扮演一个angular色吗? 答:是的 – 扫描仪瞄准您的Asterisk服务器的SIP端口。 (因此,一个SIP安全设备,检测错误的数据包结构,尝试注册无效的凭据,尝试拨打可疑的频率等将有所帮助)。
  3. 问:是什么原因造成的? 这是在笔记本电脑上的恶意软件? 答:不是 – 这是SIP扫描器和黑客工具远程运行,目的是在您的SIP堆栈,电话的网页graphics用户界面,弱密码等方面发现弱点。(因此,识别这些黑客工具模式的SIP安全系统将帮帮我)。
  4. 问:连接到这个电话并且导致电话认为电话被做了是否是一个无害的过程? 答:不,但是请注意,黑客正试图从电话中提取有效的证书,然后使用这些证书来进行电话欺诈。 (所以一个SIP安全系统,检测被盗的凭证将有所帮助)。
  5. 问:我们如何摆脱这些电话? 答:一个很好的SIP安全系统。 像fail2ban这样的简单工具会丢失上面提到的大多数攻击(这就是为什么Digiumbuild议不使用fail2ban作为安全系统的原因)。

还要注意,Digium警告用户不要使用它(参见本维基页面 )。

阅读这个wiki页面 ,介绍如何保护你的Asterisk安装。 真正的SIP安全体系不同于防火墙,不同于fail2ban。 此外,除了PBX的基本安全措施之外,还应该使用SIP安全系统。

如果这个问题只在本地,我会考虑你的办公地点和家庭地点之间的区别。 我认为这将是在办公室的位置和家庭地点的幽灵电话,如果有与星号服务器/互联网连接的东西。

我认为可能是电话和家庭位置的组合。 我不知道你使用的是什么样的手机,但是你应该确保你在手机上禁用匿名呼入电话。 如果这是问题,那么你还应该检查电话是否连接到公共IP或路由器设置为转发端口5060到SIP电话(这通常是为了“解决”audio问题)

如果你的SIP客户端/服务器在端口5060上连接了一个公共IP地址,你将会得到很多尝试使用你的信用来路由他们的SIP呼叫的人的连接尝试/鬼呼叫(我们有一个客户体验,他有星号一家电话公司使用,他们在周末的几个小时里打电话到古巴,客户失去了,直到他的账户被closures,他损失了大约5万美元)

如果你可以避免使用端口5060,你应该考虑改变你的SIP端口。

很有可能IP电话不检查传入邀请的来源。 这可以在大多数IP电话上启用,我build议使用通话呼叫authentication和注册。