是否有人试图访问我们的 IP-PBX

是否有人试图访问我们的 IP-PBX

我们在 freePBX 发行版上运行 asterisk。

该系统仅运行一天。

当我从终端登录到 asterisk 时,系统生成了很多如下所示的意外消息。

 [2016-07-14 14:34:46] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368      
log_unidentified_request: Request from '"90" <sip:[email protected]>' failed 
 for '91.236.74.186:5099' (callid: [email protected]) - 
No matching endpoint found

[2016-07-14 14:34:46] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368    
log_unidentified_request: Request from '"90" <sip:[email protected]>' failed for 
'91.236.74.186:5099' (callid: [email protected]) - No 
matching endpoint found

[2016-07-14 14:34:46] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368     
log_unidentified_request: Request from '"90" <sip:[email protected]>' failed 
for '91.236.74.186:5099' (callid: [email protected]) -   
No matching endpoint found

[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368 
log_unidentified_request: Request from '"66666" <sip:[email protected]>' 
failed for '91.236.74.186:5066' (callid: [email protected]) - 
No matching endpoint found

[2016-07-14 14:34:49] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368 
log_unidentified_request: Request from '"66666" <sip:[email protected]>' failed 
for '91.236.74.186:5066' (callid: [email protected]) - No 
matching endpoint found

[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368
log_unidentified_request: Request from '"66666" 
<sip:[email protected]>' failed for '91.236.74.186:5066' 
(callid: [email protected]) - No matching endpoint found

[2016-07-14 14:34:49] NOTICE[25546]: res_pjsip/pjsip_distributor.c:368     
log_unidentified_request: Request from '"66666" <sip:[email protected]>' 
failed for '91.236.74.186:5066' (callid: cd692628-58a449e-
[email protected]) - No matching endpoint found

[2016-07-14 14:34:49] NOTICE[21748]: res_pjsip/pjsip_distributor.c:368 
log_unidentified_request: Request from '"66666" <sip:[email protected]>' 
failed for '91.236.74.186:5066' (callid: [email protected]) - 
No matching endpoint found

我们没有设置任何这些扩展,所以我不明白它们是如何生成请求的。

起初,我屏蔽了通知中 IP 地址的流量,通知停了一会儿。然后通知又开始了,但它们在通知正文中包含了一个不同的 IP 地址。我也屏蔽了这个 IP,但这对消息出现的频率没有影响。

我使用 Sangoma 响应式防火墙阻止了这些地址。

我将非常感激任何能帮助我了解发生了什么事情的帮助。谢谢。

注意:在每种情况下 xx.xx.xx.xx 都是相同的数字,它是我们的 IP 地址。

答案1

由于我已经在评论中回答了这个问题,所以我认为把它放在这里更合适:

当您面对互联网时,您的 PBX(或任何服务)被机器人/黑客/其他东西探测并不罕见……这种情况总是发生在网络服务器、SSH、SMTP 等上……只要您不受限制地访问互联网,您就会继续看到类似的东西。

我没有使用 res_pjsip,但听起来你尝试调用的目的地并不存在。查看你的其他日志,启用调试,或者在控制台上启用调试,看看这些请求的用途。

有一次,我每天都会接到多次致电黎巴嫩的电话(但从未接通)。我还接到过有人试图拨打每个内部分机的电话(有些电话接通了!)...

因此,如果这让您感到困扰,请锁定它。使用 SSL、通过 IP 限制连接、不要使用数字作为 SIP 帐户,也许可以使用 VPN。只要有效即可。如果您必须将其完全开放给互联网,请确保配置非常安全,这样这些尝试就不会成功。就像通过 HTTP/SMTP 破坏服务器的尝试在服务器配置安全时不会成功一样。

至于你的最后一个问题,我不知道为什么 IP 在多次尝试失败后没有被阻止。它们应该被阻止吗?

答案2

很多人认为防火墙是 PBX 的安全系统。其实不然。如果您通过防火墙将 SIP 和 RTP 转发到 PBX,则防火墙仅充当路由器(从 VoIP 的角度来看)。它不会检查有效用户、设备、地理位置、拨号模式、用户行为等。

为 Asterisk 设置基本安全措施至关重要 - Asterisk/SIP 中存在漏洞,配置生成器(Elastix/FreePBX/等)中漏洞更多。例如,去年 FreePBX GUI 中存在漏洞,攻击者可以重写拨号方案,从而随时呼叫任何人等(以及您负责的 10 万美元以上的电话费)。同样,在这种情况下,防火墙对您毫无用处。为了好玩,在 Google 上搜索一个周末发生的 40 万美元 Asterisk PBX 欺诈案,然后观看视频(Astricon 演示)!

看一眼Voip 信息了解有关如何保护您的 PBX 安全的良好介绍(这些是事实 - VoIP 安全的现实 - 而非意见/观点)。

如果这是一个小型安装(我怀疑是),请安装免费版本的安全顾问保护您的 PBX。

相关内容