我有一个工作的星号环境,但我收到很多不必要的流量,例如甚至尝试以访客身份呼叫的人的 SIP 扫描器。
我正在使用 res_pjsip,配置存储在 pjsip.conf 中。但我在这个配置中找不到像alwaysauthreject和这样的选项。allowguests
我在 wiki 上找不到 pjsip 的任何安全选项。只有 chan_sip 有。
有人能告诉我这个驱动程序中是否存在这些选项吗?或者它们已被其他功能取代。
先感谢您
答案1
我找到了答案。
alwaysauthreject
allowguests
这两个函数不再是 pjsip.conf 的一部分,而是标准的一部分。
此外,您需要使用防火墙和 fail2ban 来保护您的服务器。安全性需要在操作系统级别上实现。
答案2
目前尚不清楚您正在寻找哪种类型的安全选项 - 因为拒绝客人、要求注册等简单的限制不会减少 SIP 扫描仪、试图进入的黑客等造成的负载。
如果你想保护你的服务器,请查看此页面www.voip-info.org了解详情。解决方案范围从基本的 Asterisk 服务器设置到外围保护,再到高级安全,例如 Asterisk 插件,它可以查看攻击者的源 IP 以阻止地理区域、监视启发式攻击模式等。
您会发现一些较旧的应用程序/插件难以使用 PJSIP,但有些则完全支持它。
答案3
根据这:
没有“alwaysauthreject”选项。它始终处于开启状态。
对于“域”和“allowexternaldomains”没有等效的设置功能。
除非您创建名为“anonymous”的端点,“allowguest”选项始终设置为否。
可以根据全局和端点设置“拒绝”和“允许”选项。
旧配置示例:
alwaysauthreject=yes
domain = asterisk.mydomain.com
allowexternaldomains = no
allowguest = no
deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0
正如问题的作者所写,您必须使用防火墙和fail2ban。
以下是使用的端口(取自这里):
4569 UDP - IAX/2,如果您购买了 IAX 中继,请转发此端口,IAX 可以比 SIP 更轻松地穿越防火墙
5060 UDP-SIP
10000 - 20000 UDP - SIP RTP 媒体(内部配置
rtp.conf)