web-dev-qa-db-ja.com

アスタリスクでの登録試行を停止する方法

主な質問:

アスタリスクのログには、次のようなメッセージが散らばっています。

[2012-05-29 15:53:49] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:53:50] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:53:55] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:53:55] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:53:57] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device <sip:[email protected]>;tag=cb23fe53
[2012-05-29 15:53:57] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device <sip:[email protected]>;tag=cb23fe53
[2012-05-29 15:54:02] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 15:54:03] NOTICE[5578] chan_sip.c: Registration from '<sip:[email protected]>' failed for '37.75.210.177' - No matching peer found
[2012-05-29 21:20:36] NOTICE[5578] chan_sip.c: Registration from '"55435217"<sip:[email protected]>' failed for '65.218.221.180' - No matching peer found
[2012-05-29 21:20:36] NOTICE[5578] chan_sip.c: Registration from '"1731687005"<sip:[email protected]>' failed for '65.218.221.180' - No matching peer found
[2012-05-30 01:18:58] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=dEBcOzUysX
[2012-05-30 01:18:58] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=9zUari4Mve
[2012-05-30 01:19:00] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=sOYgI1ItQn
[2012-05-30 01:19:02] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=2EGLTzZSEi
[2012-05-30 01:19:04] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=j0JfZoPcur
[2012-05-30 01:19:06] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=Ra0DFDKggt
[2012-05-30 01:19:08] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=rR7q7aTHEz
[2012-05-30 01:19:10] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=VHUMtOpIvU
[2012-05-30 01:19:12] NOTICE[5578] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:[email protected]>;tag=JxZUzBnPMW

私は自動電話システムにアスタリスクを使用しています。それが行う唯一のことは、着信呼び出しを受信し、Perlスクリプトを実行することです。発信、実際の電話への着信、アスタリスクに登録された電話はありません。

許可されていないすべての登録試行をブロックする簡単な方法があるはずですが、私はこれに長い間取り組んできました。これらの試みが私のアスタリスクログに到達するのに十分なほど遠くならないようにするためのより効果的な方法があるはずです。登録の試行をまったく許可しない、または許可しないいくつかの設定をオン/オフにできます。これを行う方法はありますか?

また、「Registration from ...」メッセージは、おそらくAsteriskサーバーにアクセスしようとしている(おそらく私のアカウントで電話をかけようとしている)と思い込んでいますか?そして、それらのメッセージと「偽の認証拒否を送信しています...」メッセージの違いは何ですか?

詳細:

"Registration from ..."行は、私のアスタリスクサーバーにアクセスしようとする侵入者であることを知っています。 Fail2Banが設定されている場合、これらのIPは5回の試行後に禁止されます(何らかの理由で、6回試行されましたが、w/eが発生します)。

しかし、「偽の認証拒否を送信しています...」というメッセージの意味や、これらの潜在的な侵入の試みを阻止する方法はわかりません。私の知る限りでは、彼らは成功したことがありません(私の請求書などに奇妙な請求はありませんでした)。

これが私がやったことです:

  1. 以下に示すように、ハードウェアファイアウォールルールを設定します。ここに、 xx.xx.xx.xxはサーバーのIPアドレス、yy.yy.yy.yyは施設のIPアドレスであり、aa.aa.aa.aabb.bb.bb.bbcc.cc.cc.ccは、VoIPプロバイダーが使用するIPアドレスです。理論的には、ポート10000〜20000は、これら3つのIPによってのみアクセス可能である必要があります。
    +-------+-----------------------------+----------+-----------+--------+-----------------------------+------------------+
| Order |         Source Ip           | Protocol | Direction | Action |        Destination Ip       | Destination Port |
+-------+-----------------------------+----------+-----------+--------+-----------------------------+------------------+
|   1   | cc.cc.cc.cc/255.255.255.255 |    udp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |    10000-20000   |
|   2   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        80        |
|   3   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       2749       |
|   4   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        443       |
|   5   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        53        |
|   6   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       1981       |
|   7   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       1991       |
|   8   |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       2001       |
|   9   | yy.yy.yy.yy/255.255.255.255 |    udp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |      137-138     |
|   10  | yy.yy.yy.yy/255.255.255.255 |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        139       |
|   11  | yy.yy.yy.yy/255.255.255.255 |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |        445       |
|   14  | aa.aa.aa.aa/255.255.255.255 |    udp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |    10000-20000   |
|   17  | bb.bb.bb.bb/255.255.255.255 |    udp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |    10000-20000   |
|   18  |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       1971       |
|   19  |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |       2739       |
|   20  |            any              |    tcp   |  inbound  | permit | xx.xx.xx.xx/255.255.255.255 |     1023-1050    |
|   21  |            any              |    all   |  inbound  |  deny  |        any on server        |      1-65535     |
+-------+-----------------------------+----------+-----------+--------+-----------------------------+------------------+
  2. Fail2Banを設定します。これは一種の機能ですが、プロアクティブではなくリアクティブであり、すべてをブロックしているようには見えません(「偽の認証拒否を送信しています...」メッセージなど)。
  3. Sip.confでルールを設定して、VoIPプロバイダー以外のすべてを拒否します。これが私のsip.confで、ほとんどすべてのコメント行が削除されています(スペースを節約するため)。一番下の通知は、VoIPプロバイダーを除くすべてを拒否しようとする試みです。
    [general]
context=default
allowguest=no
allowoverlap=no
bindport=5060
bindaddr=0.0.0.0
srvlookup=yes
    
disallow=all
allow=g726
allow=ulaw
allow=alaw
allow=g726aal2
allow=adpcm
allow=slin
allow=lpc10
allow=speex
allow=g726
    
insecure=invite
    
alwaysauthreject=yes
    
;registertimeout=20
registerattempts=0
register => user:pass:[email protected]:5060/700
    
[mysipprovider]
type=peer
username=user
fromuser=user
secret=pass
Host=sip.mysipprovider.com
fromdomain=sip.mysipprovider.com
nat=no
;canreinvite=yes
qualify=yes
context=inbound-mysipprovider
disallow=all
allow=ulaw
allow=alaw
allow=gsm
insecure=port,invite
    
deny=0.0.0.0/0.0.0.0
permit=aa.aa.aa.aa/255.255.255.255
permit=bb.bb.bb.bb/255.255.255.255
permit=cc.cc.cc.cc/255.255.255.255
securityfirewallvoipasterisksip
4
Travesty3

これらのファイアウォールルールはどのくらいの期間有効になっていますか?少し前に構成したばかりで、構成方法によっては、ルールが新しい接続試行にのみ適用される場合がありますが、確立された接続は引き続き許可されます。したがって、すでに確立されている接続を介して行われる登録試行は引き続き許可されます。

使用しているファイアウォールのタイプに関する十分な情報は提供していませんが、ポート5060で確立された接続のリストが見つかるかどうかを確認し、手動で削除してください。その後の新しい接続試行は、ファイアウォールルールに従ってブロックされるはずです。

また、Asterisk構成ファイルでbindaddr=0.0.0.0を設定したことがわかります。これにより、Asteriskはすべての使用可能なインターフェースをリッスンします。このサーバーにはいくつのIPアドレスがありますか?複数のIPアドレスがある場合は、ポート5060の着信トラフィックをブロックする宛先IPとしてxx.xx.xx.xxのみをリストしているため、ファイアウォールルールでそれらすべてを指定する必要があります。

0
Richard Keller

つまり、間違ったポートをブロックしています。 SIP登録はポート5060(TCPまたはUDP)で行われます。10000以上のポートは実際のRTPコールセットアップではなく、ベアラトラフィック用です。調整してください。ファイアウォールを使用して5060および5061の受信をブロックし、メッセージの表示を停止する必要があります。その間、システムがすべてのSIP登録をリッスンすることを希望するか、または必要とするかどうかを検討することもできます。インターフェースを覚えておいてください-プロバイダーに接続する可能性が高く、その逆ではありません。

1
rnxrx

この状況で私がすることは、ファイアウォールの最初のルールとして特定の拒否ルールを設定することです-アスタリスクボックスへのポート5060のトラフィックをブロックします。登録がまだ許可されている場合は、ファイアウォールの構成を詳しく調べて、機能しない理由を特定する必要があります。

もちろん、それはあなたが現在持っているキャッチオール拒否ルールによって止められるべきですが、それは明らかにそれをキャッチすることに失敗しています。

お役に立てれば。

0
Benjamin Johnson

登録は明らかにポート5060/5061に入ることができます。指定しても

ポート= 5061

または

bindport = 5061

または

bindaddr = 0.0.0.0:5061

アスタリスクは依然としてポート5060で登録を受け入れるように見え、すべてが引き続き機能します。

0
A. Gray