Alguém está tentando acessar nosso IP-PBX

2

Nós rodamos asterisco em uma distro freePBX.

O sistema só funciona por um dia.

Quando eu efetuei login no asterisco do terminal, o sistema estava gerando muitas mensagens inesperadas, da seguinte forma.

 [2016-07-14 14:34:46] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368      
log_unidentified_request: Request from '"90" <sip:[email protected]>' failed 
 for '91.236.74.186:5099' (callid: [email protected]) - 
No matching endpoint found

[2016-07-14 14:34:46] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368    
log_unidentified_request: Request from '"90" <sip:[email protected]>' failed for 
'91.236.74.186:5099' (callid: [email protected]) - No 
matching endpoint found

[2016-07-14 14:34:46] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368     
log_unidentified_request: Request from '"90" <sip:[email protected]>' failed 
for '91.236.74.186:5099' (callid: [email protected]) -   
No matching endpoint found

[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368 
log_unidentified_request: Request from '"66666" <sip:[email protected]>' 
failed for '91.236.74.186:5066' (callid: [email protected]) - 
No matching endpoint found

[2016-07-14 14:34:49] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368 
log_unidentified_request: Request from '"66666" <sip:[email protected]>' failed 
for '91.236.74.186:5066' (callid: [email protected]) - No 
matching endpoint found

[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" 
<sip:[email protected]>' failed for '91.236.74.186:5066' 
(callid: [email protected]) - No matching endpoint found

[2016-07-14 14:34:49] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368     
log_unidentified_request: Request from '"66666" <sip:[email protected]>' 
failed for '91.236.74.186:5066' (callid: cd692628-58a449e-
[email protected]) - No matching endpoint found

[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368 
log_unidentified_request: Request from '"66666" <sip:[email protected]>' 
failed for '91.236.74.186:5066' (callid: [email protected]) - 
No matching endpoint found

Não configuramos nenhuma dessas extensões, por isso não entendemos como elas estão gerando a solicitação.

No início, bloqueei o tráfego do endereço IP no aviso e os avisos pararam por um breve período. Em seguida, os avisos começaram novamente, mas incluíram um endereço IP diferente no corpo do aviso. Eu também bloqueei esse IP, mas ele não afetou a frequência da exibição da mensagem.

Eu bloqueei os endereços usando o firewall responsivo do Sangoma.

Eu gostaria de receber ajuda para tentar entender o que está acontecendo. Obrigado.

Nota: em cada caso xx.xx.xx.xx era o mesmo número, era o nosso endereço IP.

    
por bloopiebloopie 14.07.2016 / 16:03

2 respostas

4

Desde que eu respondi a pergunta nos comentários, achei que era mais apropriado colocá-la aqui:

Não é incomum que o seu PBX (ou qualquer serviço) seja detectado por bots / hackers / o que estiver por aí quando você estiver conectado à Internet ... Isso acontece com servidores web, SSH, SMTP, etc ... o tempo todo . Enquanto você estiver aberto à Internet sem restrição, você continuará vendo coisas como essa.

Eu não uso res_pjsip, mas parece que você está tentando fazer chamadas para destinos que não existem. Examine seus outros logs, ative a depuração ou ative a depuração no console para ver para que são essas solicitações, se quiser saber.

Em um determinado momento, eu pessoalmente estava tentando chamar o Líbano muitas vezes por dia todos os dias (o que nunca aconteceu). Eu também tive pessoas tentando ligar para todas as extensões internas (algumas passaram!) ...

Então, se isso incomoda, bloqueie. Use SSL, restrinja conexões por IP, não use números para suas contas SIP, talvez use uma VPN. Tudo o que funciona. Se você precisar deixá-lo totalmente aberto à Internet, certifique-se de que as coisas estão configuradas com muita segurança e que essas tentativas não irão a lugar nenhum. Assim como as tentativas de comprometer os servidores via HTTP / SMTP não levam a lugar nenhum quando os servidores são configurados com segurança.

Quanto à sua última pergunta, não sei por que os IPs não estão sendo bloqueados após várias tentativas malsucedidas. Eles deveriam?

    
por 14.07.2016 / 16:55
3

Muitas pessoas pensam que um firewall é um sistema de segurança para um PBX. Não é. Se você encaminhar o SIP e o RTP para o seu PBX através do seu firewall, então o seu firewall está apenas agindo como um roteador (da perspectiva do VoIP). Não há verificação de usuários, dispositivos, localizações geográficas, padrões de discagem, comportamentos de usuários, etc. válidos.

Configurar segurança básica para o Asterisk é essencial - há pontos fracos no Asterisk / SIP que são explorados, e ainda mais nos geradores de configuração (Elastix / FreePBX / etc). Por exemplo, uma falha na GUI do FreePBX no ano passado permitiu que os invasores reconfigurassem os planos de discagem, permitindo que eles ligassem para qualquer pessoa, a qualquer momento, etc. (e as contas de telefone correspondentes de $ 100k + pelas quais você é responsável). Novamente, um firewall não faz nada para você neste caso. Por diversão, o Google 400k Asterisk PBX fraudar em um fim de semana e assistir ao vídeo (uma apresentação Astricon)!

Dê uma olhada em Voip Info para uma boa introdução à segurança do seu PBX. fatos - a realidade da segurança VoIP - não uma opinião / perspectiva).

Se esta for uma instalação pequena (que eu suspeito que seja), instale a versão gratuita SECAst para proteger seu PABX .

    
por 17.07.2016 / 22:22