Chamadas fantasmas de asterisco

Navegue suas respostas
2

Problema

Temos um servidor Asterisk hospedado externamente. Em quatro locais, recebemos chamadas fantasmas. São chamadas com números diferentes, como 1000, 9999 ou 6060. Não usamos esses números, nem mesmo esse intervalo.

NB: Eu perguntei a uma pergunta sobre isso antes, mas isso não resultou em uma solução.

Há um tempo, um telefone (123) teve esse problema. Este telefone foi usado em casa por um empregador. Eu pedi de volta e dei ao empregador um novo telefone com um novo número (124). Liguei o telefone 123 no meu escritório e nunca tive um problema. O telefone 124 começou a ter problemas depois de várias semanas, então não imediatamente.

Para mim, isso parece ser um problema que se origina na rede doméstica do funcionário.

  • Tivemos esse problema em três residências diferentes.
  • Todos esses usuários têm roteadores em casa, então os telefones não estão conectados diretamente à internet.
  • Não temos esse problema no escritório, acho que temos melhor proteção lá.
  • Os problemas não ficam para sempre. Eles vêm e vão, depois voltam.

Eu procurei nos logs do Asterisk várias vezes, mas não consegui encontrar nada relacionado.

Perguntas

Eu gostaria de saber como isso funciona.

  • Essas chamadas são originadas da LAN doméstica desses empregadores?
  • O servidor do Asterisk desempenha um papel aqui?
  • O que pode causar isso? Este malware está em um laptop?
  • É algum processo inofensivo que se conecta a este telefone e faz com que o telefone pense que uma chamada foi feita?

E claro:

  • Como podemos nos livrar dessas chamadas?
por SPRBRN 08.12.2016 / 12:54

6 respostas

4

É uma força bruta, os servidores asteriscos sempre conseguem esse tipo de coisa se estiverem conectados ao IP público.

Minhas soluções são:

  • Instale o fail2ban, o fail2ban configurará o iptables e rejeitará o ip com tentativas de falha contínuas para o asterisco
  • Desativar Hóspede Login gole, colocou allowguest=no no sip.conf
  • Caso você esteja usando VPN, defina o sip do externo no seu PBX
  • Defina o contexto [default] como vazio.
por 14.12.2016 / 10:35
3

Isso acontece devido a scanners automáticos, que provavelmente tentam forçar sua senha.

Para se livrar dessas chamadas, você deve desativar usuários anônimos colocando as seguintes opções na seção [general] do seu sip.conf 

[general]
context=bogus
allowguest=no
alwaysauthreject=yes
    
por 08.12.2016 / 13:06
2

Como você afirmou que esse é um problema para usuários domésticos / remotos, é mais provável que você veja duas coisas. 1- Este convite SIP que recebe não tem nada a ver com você servidor Asterisk. Eu vi o IP de origem ser um servidor desconhecido, assim como os usuários possuem IP público em casa. 2- Se o usuário atender, ele relatará ter ouvido ar morto.

Eu vi isso principalmente com usuários que usam clientes softphone SIP, facilitando a coleta de mensagens SIP e alguns telefones IP de última geração. Alguns telefones IP incluem uma verificação no convite SIP de entrada para confirmar se a solicitação é do mesmo IP que o registro SIP. Se o convite falhar, verifique se o dispositivo não responde a um convite inválido.

Eu deixei de marcar uma postagem no blog que encontrei onde eles postaram vários IPs de scanners SIP que encontraram. No entanto, a maioria dos usuários domésticos não tem uma rede capaz de colocar na lista negra os IPs da lista. Se você não tiver algum sistema fail2ban em seu servidor de asterisco, deverá adicionar isso. Você também deve certificar-se de que suas credenciais SIP não incluam o número ISDN do usuário.

SUAS PERGUNTAS:

  1. Essas chamadas são originadas na LAN doméstica desses empregadores? Provavelmente não são, embora a mensagem SIP possa indicar isso. Eu acho que há uma pequena chance de que um hardware infectado em sua rede possa estar tentando gerar isso, mas é mais provável que seja apenas um bot varrendo todos os IPs públicos.

  2. O servidor do Asterisk desempenha um papel aqui? Seu servidor Asterisk provavelmente não gerará essas chamadas fantasmas. Você deve poder ver seus logs e confirmar que não.

  3. O que pode causar isso? Este malware está em um laptop? Muito provavelmente um bot tentando IPs públicos. Malwares improváveis são o problema, mas, embora os softphones experientes tenham maior probabilidade de lidar com convites SIP fantasmas de maneira diferente dos telefones IP.

  4. É algum processo inofensivo que se conecta a este telefone e faz com que o telefone pense que uma chamada foi feita? Geralmente isso é mais irritante do que prejudicial. Se você encontrar a mesma coisa acontecendo no seu servidor Asterisk, você precisa proteger seu servidor. Um convite para um dispositivo de usuário final seria mais difícil de encontrar uma maneira de cobrar o serviço do usuário, embora tenha que haver algum motivo para que alguém esteja passando por esses serviços para começar.

por 17.01.2017 / 16:15
1

Respostas às suas 5 perguntas específicas:

  1. P: Essas chamadas são originadas da LAN doméstica desses empregadores? R: Não - eles são originários de scanners em todo o mundo. África, Palestina e Rússia são algumas das fontes mais comuns. (Assim, um dispositivo de segurança SIP que bloqueia com base no Geofencing ajudaria).
  2. P: O servidor do Asterisk tem um papel aqui? R: Sim - os scanners estão direcionando a porta SIP do seu servidor Asterisk. (Assim, um dispositivo de segurança SIP que detecta uma estrutura de pacotes defeituosa, tenta se registrar com credenciais inválidas, tenta discar com frequência suspeita, etc. ajudaria).
  3. Q: O que pode causar isso? Este malware está em um laptop? R: Não - é scanners SIP e ferramentas de hacking executadas remotamente com a intenção de encontrar pontos fracos em sua pilha SIP, GUI da web do telefone, senhas fracas, etc. (Assim, um sistema de segurança SIP que reconheça os padrões dessas ferramentas de hacking ajuda).
  4. P: Algum processo inofensivo é conectado a este telefone e faz com que o telefone pense que uma chamada foi feita? R: Não - mas esteja ciente de que os hackers estão tentando extrair credenciais válidas dos telefones e usá-las para cometer fraudes de tarifas. (Assim, um sistema de segurança SIP que detecta credenciais roubadas ajudaria).
  5. P: Como podemos nos livrar dessas chamadas? A: Um bom sistema de segurança SIP. Ferramentas simples como o fail2ban erram a maioria dos ataques mencionados acima (e é por isso que a Digium NÃO recomenda usar o fail2ban como sistema de segurança).

Note também que a Digium avisa os usuários para não usá-lo como tal (veja esta página da wiki ).

Faça uma leitura de esta página da wiki que apresenta como proteger sua instalação do Asterisk. Um sistema de segurança SIP real é diferente de um firewall e diferente do fail2ban. Além disso, um sistema de segurança SIP deve ser usado além das medidas básicas de segurança do seu PABX.

    
por 17.12.2016 / 04:11
0

Se esse problema ocorrer apenas no local da residência, eu verificaria qual é a diferença entre a localização do escritório e os locais da casa. Eu acho que seria chamadas fantasmas no local do escritório e locais de casa, se houver algo com o servidor asterisco / conexão com a internet para ele.

Acho que pode haver combinações do telefone e da localização da casa. Eu não sei que tipo de telefone você está usando, mas você deve, de alguma forma, ter certeza de que desabilita as ligações dentro do telefone. Se esse for o problema, verifique também se os telefones estão conectados a um IP público ou se o roteador está configurado para encaminhar a porta 5060 para o telefone SIP (isso geralmente é feito para "solucionar" problemas de áudio)

Se você tiver um cliente / servidor sip conectado com um ip público na porta 5060, você terá muitas tentativas de conexão / chamadas fantasmas de pessoas tentando usar seu crédito para rotear suas chamadas SIP (nós tivemos uma experiência do cliente, o asterisco foi usado por uma companhia telefônica e eles fizeram ligações telefônicas para cuba durante algumas horas durante um fim de semana e os clientes perderam até que a conta fosse fechada. Ele perdeu cerca de US $ 50 mil)

Se você puder evitar o uso da porta 5060, considere a possibilidade de alterar sua porta sip.

    
por 17.12.2016 / 04:35
0

O mais provável é que o telefone IP não verifique a origem dos convites recebidos. Isso pode ser ativado na maioria dos telefones IP e eu sugiro usar a autenticação chamada a chamada junto com o registro.

    
por 17.08.2017 / 19:49

Tags

Identificando certas contas do Active Directory como "IsHuman" LetsEncrypt: erro de protocolo SSL desconhecido na conexão