Нужны новые клиенты? Тогда Вам рекомендуем посмотреть этот раздел нашего сайта
_____






Поступило несколько вопросов относительно защиты астериска, но сначала давайте разберемся, а зачем вообще защищать? 

Существует ряд злоумышленников, которые находят уязвимости в астериске и использовав их резко сливают большое количество серого траффика, т.е. допустим сливают 10000 мин исходящих вызовов, например на Гваделупу, где стоимость минуты у оператора только составит порядка 2-3 руб, а у абонента стоимость в большинстве случаев будет за 10 руб/мин. Путем несложных математических вычислений получаем, что абонент заплатит оператору минимум 100 т.р. за чужой траффик. 

Конечно у операторов есть механизмы защиты от вброса больших объемов траффика, в короткий промежуток времени, например, оценка загрузки линии по эрлангам и в случае превышения допустимого значения система выдает сигнал и может блокировать абонента. Однако если пират хитер, то может постепенно вбрасывать траффик в течение месяца и абонент увидит этот вброс только по счету пришедшему от оператора. Судебные разбирательства по таким вопросам обычно идут в пользу оператора и абонент полностью оплачивает пиратские расходы. 

Также надо отметить что мониторинг действий пиратов можно наблюдать по CLI астериска.

Теперь как защитить Астериск:

1. Всегда менять логины и пароли на вех сетевых устройствах. Особенно на IP телефонах, VoIP шлюзах и т.д.
2. Использовать нестандартные порты SIP, IAX, SSH.
3. Использовать пользователя с правами доступа по SSH.
4. Отключить гостевые вызовы (guest-звонки) и регистрации. Необходимо отредактировать /etc/asterisk/sip.conf
строку Allowguest=yes заменить на allowguest=no; Allow or reject guest calls (default is yes). Данный вариант подойдет не всем пользователям, иногда бывает, что отказаться от guest-вызовов не представляется возможным.
5. Установить лимит звонков. В том случае, если вас уже взломали, потерять меньше денег поможет строка Call-limit=1, прописанная в настройках ваших внутренних абонентов Эта строка ограничивает количество одновременных соединений.вашего внутреннего абонента.
6. Использовать различные правила исходящей маршрутизации. например: 8495XXXXXXX, 8961XXXXXXX, 89ХХXXXXXXX и т.д.
7. Отключить ответ о неверном пароле
8. Использовать Iptables и Fail2ban. Fail2ban помогает вылавливать строки вида «failed for ’127.0.0.1′ – Wrong password» и «failed for ’127.0.0.1′ – Peer is not supposed to register». Fail2ban может существенно сократить количество мусорного SIP трафика.