Непонятные входящие со случайными DID: Как защитится?

[Lexander]

Всем Здравствуйте! Помогите пожалуйста разобраться:

FreePBX 15.0.16.44 Asterisk Version: 16.6.2
Внешний IP 134.17.***.*** помечен в Firewall как Internet.
Внешние интерфейс нужен для подключения сотрудников в филиалах.
И все вроде бы хорошо. Intrusion detection пару раз в день кого-то там банит, но этот механизм понятен и вопросов не вызывает.

Странно другое: вот если активировать входящий маршрут с пустым DID (ANY), начинают приходить какие-то звонки со всякими случайными CID/DID. Выглядит примерно так:

Если оставить только входящие маршруты, в со своими DID, то все успокаивается.
С таким столкнулся впервые, и немного беспокоит вопрос: стоит ли по этому поводу заморачиваться, подскажите пожалуйста?

[ded]

В интернете работают сканеры, которые пытаются найти открытые порты 5060, после чего начинают насыпать туда попытки прозвона, чтобы найдя уязвимость (небрежность, оплошность в настройках, например DISA) прозвониться на экзотичные мобильные направления - Уганда, Коморрские острова, где есть размещена заявка на бирже, которая им же и принадлежит, и снять денег автоматически.

Если это выставленные ИП телефоны - они начинают время от времени звонить, а там и нет никого. Да их звонками не взломать, разве что попытка будет хакнуть интерфейс, чтобы вытащить данные user + secret.
Если это станция, то её надо защищать очень тщательно, методов много, включая трансфер входящего на исходящий.
Лучше используйте метод Whithe list - Белый список, где ИП адреса только ваших филиалов и провайдера.

[Zavr2008]

allowguest = no и alwaysauthreject = yes поможет избавиться от ночных кошмаров.
не забываем ACL для пиров.

[Lexander]

allowguest = no и alwaysauthreject = yes поможет избавиться от ночных кошмаров.
не забываем ACL для пиров.

Это соответствует опции "Разрешить входящие анонимные SIP звонки" и "Разрешить SIP вызовы без аутентификации" в пункте "Настройки SIP" интерфейса FreePBX, правильно?

Наверняка помогло бы, но просто так включить эти опции не получается, поскольку один из провайдеров предоставляет SIP транк как раз без аутентификации, по методу "Truster IP". Т.е. еth0 машины это Static IP в интернет а eth1.XXX смотрит в сеть к провайдеру и по нему идут по сути анонимные SIP входящие.

Видимо нужно как-то включить это только для Интернет интерфейса? Или как-то по особенному настроить Forewall?

P.S. ACL не представляю как поддерживать: много клиентов на мобиляных сетях. Задумался над внедрением скажем OpenVPN, но боюсь будет не надежно работать.

[Zavr2008]

поскольку один из провайдеров предоставляет SIP транк как раз без аутентификации

В корне неверно, просто при insecure=port,invite есть авторизация по ip.
НЕЛЬЗЯ оставлять allowguest!

[Lexander]

В корне неверно, просто при insecure=port,invite есть авторизация по ip.
НЕЛЬЗЯ оставлять allowguest!

О! Благодарю!
Добавил в опции пира "insecure=port,invite" и тогда "Разрешить SIP вызовы без аутентификации" удалось переключить на "Нет". До этого входящие на этот транк не проходили при переключении.
Вроде не звонят пока "Админы"

А что делать с опцией "Разрешить входящие анонимные SIP звонки", которая сейчас стоит "Да" и переключить также не получается?

[Lexander]

поскольку один из провайдеров предоставляет SIP транк как раз без аутентификации

В корне неверно, просто при insecure=port,invite есть авторизация по ip.
НЕЛЬЗЯ оставлять allowguest!

И всё таки пришлось поставить allowguest=yes
Пока гостевые вызовы с непонятными DID просто отклоняю, но временами идет настолько жёсткий спам, что сервер подтормаживает.

Если allowguest=no то некоторые входящие на транк по методу "trusted IP" не проходят: провайдер сообщает что в ответ на инвайт мой FreePBX шлет "Forbidden"
Выяснилось далеко не сразу, поскольку не проходит только часть вызовов, с некоторых номеров, причем того же МТС.

Получается нужно сначала запретить везде, но затем разрешить входящие анонимные SIP звонки для этого конкретного транка?
Как это сделать, подскажите пожалуйста?
Или я что-то не так понимаю?

P.S.: К SIP оборудованию провайдера идет отдельный VLan, интернет идет по другому Vlan.
В опциях пира стоит insecure=port,invite

[ded]

И всё таки пришлось поставить allowguest=yes
Получается нужно сначала запретить везде, но затем разрешить входящие анонимные SIP звонки для этого конкретного транка?

Нет.
В платный суппорт.
Вы не новичок, вам выгодно прикинуться новичком, чтобы в этот топик попасть?

[Zavr2008]

К SIP оборудованию провайдера идет отдельный VLan, интернет идет по другому Vlan.

Этот серый IP приземляется прямо на отдельный интерфейс астера без NAT и маршрутизатора на Вашей стороне?
Тогда занести в localnet IP сервера SIP оператора и для него же nat=never.

При авторизации по IP важно вот что:
insecure=port,invite
host=статический
directmedia=no
поля defaultuser или username не заполнять, как и secret

allowguest этот закрываем, далее сюда выкладываем SIP отладку INVITE проблемного звонка, ну и выхлоп астера тоже. Только под спойлер pls.

[Lexander]

В платный суппорт.
Вы не новичок, вам выгодно прикинуться новичком, чтобы в этот топик попасть?

Понятие ооочень относительное. Но мне выгодно считать себя новичком, т.к. это позволяет не закостенеть и постоянно учится новому.
Случай как раз такой, что можно и в платный саппорт, но опять же: чему это меня научит? Чуть что - обращаться в платный Саппорт?