asterisk.ru

SIP/1000

Вот на неги регаются или прямо с него INVITE фигачат..
Так сложно добавить deny/permit маску верную чтобы на все host=dynamic ACL была только из локалки?

Например:

Код: выделить все

deny=0.0.0.0/0.0.0.0
permit=192.168.1.0/24


Удобно шаблон сделать и его добавлять ко всем пирам.

Zavr2008, авторизации 1000 в логах нет. А закрыться можно, так я эту проблему и решил.
virus_net, спасибо за информацию, полезно. Но все эти средства, на мой взгляд, только костыли на случай уже состоявшегося взлома. И раз уж вы озадачились сбором списка плохишей, подозреваю, что это известная всем уязвимость, с которой приходится жить. Значит ли это, что в астериск нет возможности запретить отправку инвайтов без предварительной авторизации пользователя по установленному паролю (у меня это происходит именно так), и вызовы могут состояться если мошенник подберет один только номер учетки и начнет спамить инвайтами?

авторизации 1000 в логах нет

2019-03-16 01:38:32] VERBOSE[24877][C-00000330] pbx.c: Executing [9011441792959946@phone:1] Dial("SIP/1000-00000004", "SIP/beeline/мой_номер,,Tt") in new stack

Кто Вам сказал такую чушь что просто для исходящего звонка через Астер обязательно должна быть регистрация?
У Вас пир SIP/1000 прекрасно звонит через контекст phone.
Не "закрываться" - а правильно прописывать политику доступа к динамическим пирам.

Читать книжки, ну или налетать на фрод на пару лямов)

proxxs, нет. Это значит, что вы не понимаете как работает протокол SIP.
Вам надо почитать хотя-бы азы, чтобы понять.
Если настройки asterisk того требуют, то каждый вызов требует авторизации, но не регистрации.
Вам дали конструктор, который может и так и сяк. Настроить его как надо именно вам, это ваша задача.
Сделать так чтобы проверялась и регистрация можно. Например agi скриптом.

И это не костыли, а рекомендации по настройке защиты.

Вообще ТС стоит может на курсы записаться - знаю Voxlink проводит, некоторые наши клиенты записались и довольны.
Тогда и книжки читать будет поваднее и конторе сотни тысяч сэкономите не отдав фродерам.

Ясно. Спасибо, буду изучать матчасть.

Ка вопрос "как они так звонят" ясность уже появилась?

Да, похоже.
Вызовы проходили, потому что я сам разрешил им это делать без авторизации командой insecure=invite,port. И регистрация аккаунта в Астерикс тут ни при чем, т.к. необходима только для приема входящих звонков.
Убрал insecure, совсем выключил файрвол, два дня тишины.

insecure=port,invite нужно ставить ТОЛЬКО с host= статическим. При host=dynamic Вы сами приглашаете всех желающих)

И запомнить стоит что и без REGISTER можно получить INVITE исходящий через Ваш астер. Регистрация и авторизация - разные вещи.