アスタリスクゴーストコール
問題
Asteriskサーバーが外部でホストされています。 4つの場所でゴーストコールが発生しました。これらは、1000、9999、6060などの異なる番号の通話です。これらの番号は使用せず、その範囲も使用しません。
NB:私は以前に これについての質問 を尋ねましたが、それは解決策にはなりませんでした。
少し前に、1台の電話(123)でこの問題が発生しました。この電話は、雇用主が自宅で使用していました。私はそれを注文し直し、雇用主に新しい番号(124)の新しい電話を渡しました。私は自分のオフィスで123電話を接続しましたが、問題はありませんでした。 124電話は数週間後に問題が発生し始めたので、すぐには問題が発生しませんでした。
私には、これは従業員のホームネットワークに起因する問題のように思えます。
- 私たちは3つの異なる家でこの問題を抱えています。
- これらすべてのユーザーは自宅にルーターを持っているため、電話はインターネットに直接接続されていません。
- 私たちはオフィスでこの問題を抱えていません、私たちはそこでより良い保護があると思います。
- 問題は永遠に続くわけではありません。彼らは行き来し、そして戻ってきます。
アスタリスクのログを数回調べましたが、関連するものは見つかりませんでした。
質問
これがどのように機能するのか知りたいのですが。
- これらの通話は、これらの雇用主のホームLANから発信されていますか?
- Asteriskサーバーはここで役割を果たしますか?
- これを引き起こす原因は何ですか?このマルウェアはラップトップにありますか?
- この電話に接続し、電話がかかってきたと電話に思わせるのは、無害なプロセスですか?
そしてもちろん:
- これらの呼び出しをどのように取り除くことができますか?
これはブルートフォースです。パブリックIPに接続されている場合、アスタリスクサーバーは常にそのようなものを取得します。
私の解決策は:
- Fail2banをインストールすると、fail2banはiptablesを設定し、アスタリスクへの継続的な失敗試行でipを拒否します
- ゲストsipログインを無効にし、
allowguest=noをsip.confに入れます - VPNを使用している場合は、PBXでfrom sipexternalを設定します
[default]コンテキストを空に設定します。
これは、おそらくパスワードをブルートフォースしようとしている自動スキャナーが原因で発生します。
このような呼び出しを取り除くには、[general]のsip.confセクションに次のオプションを配置して、匿名ユーザーを無効にする必要があります。
[general]
context=bogus
allowguest=no
alwaysauthreject=yes
あなたが述べたように、これはホーム/リモートユーザーの問題であり、主に2つのことが起こる可能性があります。 1-このSIP招待状は、Asteriskサーバーとは関係ありません。ソースIPが不明なサーバーであり、ユーザーがホームパブリックIPを所有していることを確認しました。2-Ifユーザーが拾うと、死んだ空気が聞こえたと報告されます。
私はこれを主にSIPソフトフォンクライアントを使用しているユーザーで見ました。これにより、SIPメッセージと一部のローエンドIP電話を簡単に収集できます。一部のIP電話には、着信SIP招待をチェックして、要求がSIP登録と同じIPからのものであることを確認します。招待が失敗した場合、デバイスは応答しません無効な招待。
SIPスキャナーが見つかった)のいくつかのIPを投稿したブログ投稿をブックマークできませんでした。ただし、ほとんどのホームユーザーは、リストからIPをブラックリストに登録できるネットワークを持っていません。アスタリスクサーバーにfail2banシステムがある場合は、それを追加する必要があります。また、SIP資格情報にユーザーのISDN番号が含まれていないことを確認する必要があります。
あなたの質問:
これらの通話は、これらの雇用主のホームLANから発信されていますか? SIPメッセージがこれを示している可能性がありますが、そうではない可能性があります。ネットワーク上の感染したハードウェアがこれを生成しようとしている可能性はわずかですが、おそらくすべてのパブリックIPをスキャンするボット。
Asteriskサーバーはここで役割を果たしますか? Asteriskサーバーは、これらのファントム呼び出しを生成していない可能性があります。ログを調べて、そうでないことを確認できるはずです。
これを引き起こす原因は何ですか?このマルウェアはラップトップにありますか?おそらく、パブリックIPを試行しているボットです。ありそうもないマルウェアが問題ですが、経験のあるソフトフォンはファントムSIPの招待を、IP電話とは異なる方法で処理する可能性が高くなります。
この電話に接続し、電話がかかってきたと電話に思わせるのは、無害なプロセスですか?通常、これはより厄介で有害です。 Asteriskサーバーで同じことが起こっていることに気付いた場合は、サーバーを強化する必要があります。エンドユーザーのデバイスへの招待は、ユーザーにサービスの料金を請求する方法を見つけるのが難しいでしょうが、そもそも誰かがこれらのサービスにまたがっている理由がいくつかあるはずです。
5つの特定の質問への回答:
- Q:これらの通話は、これらの雇用主のホームLANから発信されていますか? A:いいえ-それらは世界中のスキャナーに由来します。アフリカ、パレスチナ、ロシアは最も一般的な情報源の一部です。 (したがって、SIPジオフェンシングに基づいてブロックするセキュリティデバイスが役立ちます)。
- Q:Asteriskサーバーはここで役割を果たしますか? A:はい-スキャナーはAsteriskサーバーのSIPポートをターゲットにしています。(したがって、不正なパケット構造を検出するSIPセキュリティデバイスは、無効な資格情報、疑わしい頻度でダイヤルしようとする試みなどが役立ちます)。
- Q:これは何が原因ですか?このマルウェアはラップトップにありますか? A:いいえ-これはSIPスキャナーとハッキングツールは、SIPスタック、電話のWeb GUI、脆弱なパスワードの弱点を見つけることを目的としてリモートで実行されます、など(したがって、これらのハッキングツールのパターンを認識するSIPセキュリティシステムが役立ちます)。
- Q:この電話に接続して、電話がかかってきたと電話に思わせるのは、無害なプロセスですか? A:いいえ。ただし、ハッカーが電話から有効な資格情報を抽出し、それを使用して料金詐欺を犯そうとしていることに注意してください。 (したがって、SIP盗まれた資格情報を検出するセキュリティシステムが役立ちます)。
- Q:どうすればこれらの呼び出しを取り除くことができますか? A:優れたSIPセキュリティシステム。fail2banのような単純なツールは、上記の攻撃のほとんどを見逃します(そのため、Digiumはセキュリティシステムとしてfail2banを使用しないことをお勧めします)。
Digiumは、それ自体を使用しないようにユーザーに警告していることにも注意してください( このwikiページ を参照)。
このwikiページ を読んでください。これは、Asteriskのインストールを保護する方法を紹介しています。実際のSIPセキュリティシステムはファイアウォールとは異なり、fail2banとは異なります。さらに、次の基本的なセキュリティ対策に加えて、SIPセキュリティシステムを使用する必要があります。あなたのPBX。
この問題が自宅の場所だけにある場合、私はあなたのオフィスの場所と自宅の場所の違いを調べます。アスタリスクサーバー/インターネット接続があれば、オフィスや自宅でのゴーストコールになると思います。
電話と自宅の場所の組み合わせがあるかもしれないと思います。使用している電話の種類はわかりませんが、電話での匿名の着信通話を無効にする必要があります。これが問題である場合は、電話がパブリックIPに接続されているかどうか、またはルーターがポート5060をSIP電話に転送するように設定されているかどうかも確認する必要があります(これは多くの場合、「解決するために行われます」 「音声の問題)
ポート5060でパブリックIPに接続されたsipクライアント/サーバーがある場合、クレジットを使用してSIPコールをルーティングしようとしている人々から、多くの接続試行/ゴーストコールが発生します(顧客にこれを体験させた彼は、電話会社にアスタリスクが使用され、週末の数時間に電話をキューバにルーティングし、アカウントが閉鎖されるまで顧客を失いました。彼は約5万ドルを失いました)
ポート5060の使用を回避できる場合は、SIPポートの変更を検討する必要があります。
ほとんどの場合、IP電話は着信招待の送信元をチェックしません。これはほとんどのIP電話で有効にできます。登録とともに、コールバイコール認証を使用することをお勧めします。