Звонок абоненту используя SIP URI

Содержание:

1. Настройка DNS
2. Настройка Астериск на прием вызовов SIP URI
3. Безопасность

Для реализации данной возможности вы должны обладать своим доменом и иметь доступ к DNS серверу, который позволяет добавлять записи типа SRV

1. Настройка DNS

На вашем DNS сервер необходимо добавить запись типа SRV. Например, так:

Значение записи и есть ваш Астериск, который будет принимать входящие неавторизованные звонки.

Примечание: после внесения записи, может пройти до 24 часов, пока эта запись появится на всех DNS серверах, впрочем как и любая другая.
Для проверки SRV записи можно использовать nslookup:

Если вы получили аналогичный ответ, то DNS конфигурация SIP URI прошла успешно.

2. Настройка Астериск на прием вызовов SIP URI

Делаем изменения в файле sip.conf:

[general]
allowguest=yes
context=from-internet

cli>sip reload

Проверяем, что настройки применились

cli>sip show settings

…
 Allow unknown access:  Yes
…
 Context:               from-internet
…

Теперь Астериск будет обрабатывать неавторизованные вызовы в контексте from-internet
Опишим его в файле extensions.conf

[from-internet]
exten = > team,1,Verbose  (1,Internet guest call from IP=${SIPCHANINFO  (peerip)})
exten = > team,n,Dial  (SIP/712&SIP/711)
exten = > _.,1,Verbose  (1,Internet guest call from IP=${SIPCHANINFO  (peerip)})
exten = > _.,n,Wait  (3)
 ; снизит скорость DDOS
exten = > _.,n,Hangup  ()

Сохраняем и применяем настройки dialplan reload. Теперь наш Астериск готов принять звонки типа: [email protected]
Также можно добавить email адреса вашего домена и прописать вызов для конкретного сотрудника. Таким образом ваш электронный адрес станет еще и номером для SIP звонка.

3. Безопасность

Рекомендуем делать данную настройку не на основном сервере, если это возможно. Также нерекомендуем делать данную настройку, на узком интернет канале. Т.к. прием неавторизованного вызова «лакмусовая бумажка» для злоумышлиника. И хотя мы запретили вызовы кроме конкретных, злоумышлиник будет «пробивать» ваш диалплан на предмет возможности делать исходящие вызовы. Что вызовит нагрузку на ваш интернет канал.

С этим можно бороться на уровне firewall. Если мы определили атаку и заблокировали, то через некоторое время злоумышлиник скорее всего перестанет делать попытки прозвона. Предполагаем, что у вас уже установлен fail2ban, и активировано правило asterisk-iptables в файле jail.conf (jail.local)

[root@pbx ~]# /etc/init.d/fail2ban status
Fail2ban  (pid 11416) is running…
Status
|— Number of jail:     5
`- Jail list:          apache-tcpwrapper, apache-badbots, ssh-iptables, asterisk-iptables, vsftpd-iptables

В папке /etc/fail2ban/filter.d находим конфиг, который отвечает за блокировку для логов астериск, например, asterisk.conf:
В секцию failregex добавляем новое правило (последняя строка):

failregex = Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — Wrong password
           Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — No matching peer found
           Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — Device does not match ACL
           Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — Username/auth name mismatch
           Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — Peer is not supposed to register
           NOTICE.* <HOST> failed to authenticate as '.*'$
           NOTICE.*. *: No registration for peer '.*'  (from <HOST>)
           NOTICE.*. *: Host <HOST> failed MD5 authentication for '.*'  (.*)
           VERBOSE.* logger.c: —. *IP/<HOST>-.* Playing 'ss-noservice'  (language '.*')
           Internet guest call from IP=<HOST>

Делаем рестарт для применения правил:

/etc/init.d/fail2ban restart

Примечание: не забудьте проверить, что iptables у вас запущен

На этом настройка закончена и теперь множественные попытки в короткий промежуток времени, даже если они будут успешными (т.е. на правильный exten), будут заблокированы на уровне iptables.