Курсы по использованию Asterisk

IP-телефония — технология будущего. Обучитесь работе с IP-АТС Asterisk для того чтобы внедрить и профессионально использовать при решении коммуникационных задач.

Работайте с Asterisk профессионально!

Многоуровневая защита IP-АТС Asterisk

Телефонные станции очень часто становятся объектами хакерских атак. Узнайте, каким образом необходимо строить многоуровневую защиту для Вашей IP-АТС.

Не оставьте хакерам шансов. Защитите свой Asterisk от атак.

Используйте Веб-Интерфейс для удобства настройки

Панель управление FreePBX позволяет легко и удобно управлять всей системой. Научитесь эффективно использовать FreePBX для решения своих задач.

Управление станцией и статистика в окне браузера.

Научитесь работать с Asterisk из консоли

Для понимания работы с Asterisk необходимо уметь настраивать его вручную с конфигурационными файлами и командной строкой CLI Asterisk.

Научитесь «тонкой» настройке Asterisk

Цель курсов - максимум практики.

Обучение нацелено на практическую работу с IP-оборудованием: платы потоков E1, VoIP-телефонные аппараты, голосовые шлюзы FXS и прочее.

Обучение на реальном оборудовании — залог успеха.

Звонок абоненту используя SIP URI

База знаний Настройка Asterisk

Задача
Обеспечить возможность входящих звонков по протоколу SIP без авторизации, используя адресацию SIP URI. Звонки могут осуществлять софтфоны, которые могут звонить без регистрации (например, twinkle) или различные веб сервисы.

Содержание:

  1. Настройка DNS
  2. Настройка Астериск на прием вызовов SIP URI
  3. Безопасность

Для реализации данной возможности вы должны обладать своим доменом и иметь доступ к DNS серверу, который позволяет добавлять записи типа SRV

1. Настройка DNS

На вашем DNS сервер необходимо добавить запись типа SRV. Например, так:


Значение записи и есть ваш Астериск, который будет принимать входящие неавторизованные звонки.

Примечание: после внесения записи, может пройти до 24 часов, пока эта запись появится на всех DNS серверах, впрочем как и любая другая.
Для проверки SRV записи можно использовать nslookup:


Если вы получили аналогичный ответ, то DNS конфигурация SIP URI прошла успешно.

2. Настройка Астериск на прием вызовов SIP URI

Делаем изменения в файле sip.conf:


[general]
allowguest=yes
context=from-internet

cli>sip reload



Проверяем, что настройки применились

cli>sip show settings


 Allow unknown access:  Yes

 Context:               from-internet



Теперь Астериск будет обрабатывать неавторизованные вызовы в контексте from-internet
Опишим его в файле extensions.conf

[from-internet]
exten = > team,1,Verbose (1,Internet guest call from IP=${SIPCHANINFO (peerip)})
exten = > team,n,Dial (SIP/712&SIP/711)
exten = > _.,1,Verbose (1,Internet guest call from IP=${SIPCHANINFO (peerip)})
exten = > _.,n,Wait (3)
 ; снизит скорость DDOS
exten = > _.,n,Hangup ()



Сохраняем и применяем настройки dialplan reload. Теперь наш Астериск готов принять звонки типа: team@voxlink.ru
Также можно добавить email адреса вашего домена и прописать вызов для конкретного сотрудника. Таким образом ваш электронный адрес станет еще и номером для SIP звонка.

3. Безопасность

Рекомендуем делать данную настройку не на основном сервере, если это возможно. Также нерекомендуем делать данную настройку, на узком интернет канале. Т.к. прием неавторизованного вызова «лакмусовая бумажка» для злоумышлиника. И хотя мы запретили вызовы кроме конкретных, злоумышлиник будет «пробивать» ваш диалплан на предмет возможности делать исходящие вызовы. Что вызовит нагрузку на ваш интернет канал.

С этим можно бороться на уровне firewall. Если мы определили атаку и заблокировали, то через некоторое время злоумышлиник скорее всего перестанет делать попытки прозвона. Предполагаем, что у вас уже установлен fail2ban, и активировано правило asterisk-iptables в файле jail.conf (jail.local)

[root@pbx ~]# /etc/init.d/fail2ban status
Fail2ban (pid 11416) is running…
Status
|— Number of jail:     5
`- Jail list:          apache-tcpwrapper, apache-badbots, ssh-iptables, asterisk-iptables, vsftpd-iptables


В папке /etc/fail2ban/filter.d находим конфиг, который отвечает за блокировку для логов астериск, например, asterisk.conf:
В секцию failregex добавляем новое правило (последняя строка):

failregex = Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — Wrong password
           Registration from '.*' failed for '<HOST> (:[0-9]{1,5})?' — No matching peer found
           Registration from '.*' failed for '<HOST> (:[0-9]{1,5})?' — Device does not match ACL
           Registration from '.*' failed for '<HOST> (:[0-9]{1,5})?' — Username/auth name mismatch
           Registration from '.*' failed for '<HOST> (:[0-9]{1,5})?' — Peer is not supposed to register
           NOTICE.* <HOST> failed to authenticate as '.*'$
           NOTICE.*. *: No registration for peer '.*' (from <HOST>)
           NOTICE.*. *: Host <HOST> failed MD5 authentication for '.*' (.*)
           VERBOSE.* logger.c: —. *IP/<HOST>-.* Playing 'ss-noservice' (language '.*')
           Internet guest call from IP=<HOST>



Делаем рестарт для применения правил:

/etc/init.d/fail2ban restart

Примечание: не забудьте проверить, что iptables у вас запущен

На этом настройка закончена и теперь множественные попытки в короткий промежуток времени, даже если они будут успешными (т.е. на правильный exten), будут заблокированы на уровне iptables.

call, for, конфигурация, настройка, sip, asterisk, сервер, VoxLink