誰かが私たちのIP-PBXにアクセスしようとしていますか
FreePBXディストリビューションでアスタリスクを実行します。
システムは1日だけ稼働しています。
ターミナルからアスタリスクにログインすると、システムは次のような予期しないメッセージを大量に生成していました。
[2016-07-14 14:34:46] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"90" <sip:[email protected]>' failed
for '91.236.74.186:5099' (callid: [email protected]) -
No matching endpoint found
[2016-07-14 14:34:46] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"90" <sip:[email protected]>' failed for
'91.236.74.186:5099' (callid: [email protected]) - No
matching endpoint found
[2016-07-14 14:34:46] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"90" <sip:[email protected]>' failed
for '91.236.74.186:5099' (callid: [email protected]) -
No matching endpoint found
[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" <sip:[email protected]>'
failed for '91.236.74.186:5066' (callid: [email protected]) -
No matching endpoint found
[2016-07-14 14:34:49] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" <sip:[email protected]>' failed
for '91.236.74.186:5066' (callid: [email protected]) - No
matching endpoint found
[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666"
<sip:[email protected]>' failed for '91.236.74.186:5066'
(callid: [email protected]) - No matching endpoint found
[2016-07-14 14:34:49] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" <sip:[email protected]>'
failed for '91.236.74.186:5066' (callid: cd692628-58a449e-
[email protected]) - No matching endpoint found
[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" <sip:[email protected]>'
failed for '91.236.74.186:5066' (callid: [email protected]) -
No matching endpoint found
これらの拡張機能はまだ設定されていないため、リクエストがどのように生成されているのかわかりません。
最初は通知でIPアドレスからのトラフィックをブロックしましたが、通知はしばらく停止しました。その後、通知が再び開始されましたが、通知の本文に別のIPアドレスが含まれていました。このIPもブロックしましたが、メッセージが表示される頻度には影響しませんでした。
Sangomaレスポンシブファイアウォールを使用してアドレスをブロックしました。
何が起こっているのかを理解するために助けていただければ幸いです。ありがとうございました。
注:いずれの場合も、xx.xx.xx.xxは同じ番号であり、IPアドレスでした。
コメントで質問に答えてきたので、ここに置く方が適切だと思いました。
あなたのPBX(または任意のサービス)がインターネットに直面しているときにボット/ハッカー/そこにあるものによって調査されることは珍しいことではありません...これはWebサーバー、SSH、SMTPなどで起こります...常に。制限なくインターネットにアクセスしている限り、このようなものを見続けるでしょう。
私はres_pjsipを使用していませんが、存在しない宛先に電話をかけようとしているようです。知りたい場合は、他のログを確認するか、デバッグを有効にするか、コンソールでデバッグを有効にして、これらの要求の目的を確認してください。
ある時、私は個人的に毎日何度もレバノンに電話をかけようと試みていました(それは決して通らなかった)。私はまた、人々にすべての内部内線番号を呼び出そうと試みました(いくつかは通過しました!)...
したがって、これが気になる場合は、ロックしてください。 SSLを使用し、IPによる接続を制限し、SIPアカウントには番号を使用しないでください。おそらく、VPNを使用してください。機能するものは何でも。インターネットに広く公開したままにする必要がある場合は、次のことを確認してください。サーバーが安全に構成されている場合、HTTP/SMTPを介してサーバーを侵害しようとする試みがどこにも行かないのと同じように、これらの試みはどこにも行きません。
最後の質問ですが、何度か試行に失敗してもIPがブロックされない理由がわかりません。彼らはそうすることになっていますか?
多くの人がファイアウォールはPBXのセキュリティシステムだと考えています。そうではありません。 SIPおよびRTPをファイアウォールを介してPBXに転送する場合、ファイアウォールはルーターとしてのみ機能します( VoIPの観点から)有効なユーザー、デバイス、地理的な場所、ダイヤルパターン、ユーザーの行動などのチェックはありません。
Asteriskの基本的なセキュリティを設定することは不可欠です。Asterisk/ SIPには悪用される弱点があり、構成ジェネレーター(Elastix/FreePBXなど)にはさらに多くの弱点があります。たとえば、昨年のFreePBX GUIの弱点により、攻撃者はダイヤルプランを書き直して、いつでも誰にでも電話をかけることができました(および対応する10万ドル以上の電話料金)。この場合も、ファイアウォールは何もしません。楽しみのために、グーグル$ 400,000アスタリスクPBXある週末の詐欺とビデオ(Astriconプレゼンテーション)を見てください!
Voip Info を見て、PBX(これらは事実-VoIPセキュリティの現実-意見/視点ではありません)を保護するための良い入門書です)。
これが小規模なインストールである場合(おそらくそうだと思います)、無料バージョンの SecAst をインストールして、PBXを保護します。