artem
01.03.2013
24223

Звонок абоненту используя SIP URI

Задача
Обеспечить возможность входящих звонков по протоколу SIP без авторизации, используя адресацию SIP URI. Звонки могут осуществлять софтфоны, которые могут звонить без регистрации ( например, twinkle) или различные веб сервисы.

Содержание:

  1. Настройка DNS
  2. Настройка Астериск на прием вызовов SIP URI
  3. Безопасность

Для реализации данной возможности вы должны обладать своим доменом и иметь доступ к DNS серверу, который позволяет добавлять записи типа SRV

1. Настройка DNS

На вашем DNS сервер необходимо добавить запись типа SRV. Например, так:

Значение записи и есть ваш Астериск, который будет принимать входящие неавторизованные звонки.

Примечание: после внесения записи, может пройти до 24 часов, пока эта запись появится на всех DNS серверах, впрочем как и любая другая.
Для проверки SRV записи можно использовать nslookup:

Если вы получили аналогичный ответ, то DNS конфигурация SIP URI прошла успешно.

2. Настройка Астериск на прием вызовов SIP URI

Делаем изменения в файле sip.conf:

[general]
allowguest=yes
context=from-internet
cli>sip reload

Проверяем, что настройки применились

cli>sip show settings

…
 Allow unknown access:  Yes
…
 Context:               from-internet
…

Теперь Астериск будет обрабатывать неавторизованные вызовы в контексте from-internet
Опишим его в файле extensions.conf

[from-internet]
exten = > team,1,Verbose  (1,Internet guest call from IP=${SIPCHANINFO  (peerip)})
exten = > team,n,Dial  (SIP/712&SIP/711)
exten = > _.,1,Verbose  (1,Internet guest call from IP=${SIPCHANINFO  (peerip)})
exten = > _.,n,Wait  (3)
 ; снизит скорость DDOS
exten = > _.,n,Hangup  ()

Сохраняем и применяем настройки dialplan reload. Теперь наш Астериск готов принять звонки типа: [email protected]
Также можно добавить email адреса вашего домена и прописать вызов для конкретного сотрудника. Таким образом ваш электронный адрес станет еще и номером для SIP звонка.

3. Безопасность

Рекомендуем делать данную настройку не на основном сервере, если это возможно. Также нерекомендуем делать данную настройку, на узком интернет канале. Т.к. прием неавторизованного вызова «лакмусовая бумажка» для злоумышлиника. И хотя мы запретили вызовы кроме конкретных, злоумышлиник будет «пробивать» ваш диалплан на предмет возможности делать исходящие вызовы. Что вызовит нагрузку на ваш интернет канал.

С этим можно бороться на уровне firewall. Если мы определили атаку и заблокировали, то через некоторое время злоумышлиник скорее всего перестанет делать попытки прозвона. Предполагаем, что у вас уже установлен fail2ban, и активировано правило asterisk-iptables в файле jail.conf (jail.local)

[root@pbx ~]# /etc/init.d/fail2ban status
Fail2ban  (pid 11416) is running…
Status
|— Number of jail:     5
`- Jail list:          apache-tcpwrapper, apache-badbots, ssh-iptables, asterisk-iptables, vsftpd-iptables

В папке /etc/fail2ban/filter.d находим конфиг, который отвечает за блокировку для логов астериск, например, asterisk.conf:
В секцию failregex добавляем новое правило (последняя строка):

failregex = Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — Wrong password
           Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — No matching peer found
           Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — Device does not match ACL
           Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — Username/auth name mismatch
           Registration from '.*' failed for '<HOST>  (:[0-9]{1,5})?' — Peer is not supposed to register
           NOTICE.* <HOST> failed to authenticate as '.*'$
           NOTICE.*. *: No registration for peer '.*'  (from <HOST>)
           NOTICE.*. *: Host <HOST> failed MD5 authentication for '.*'  (.*)
           VERBOSE.* logger.c: —. *IP/<HOST>-.* Playing 'ss-noservice'  (language '.*')
           Internet guest call from IP=<HOST>

Делаем рестарт для применения правил:

/etc/init.d/fail2ban restart

Примечание: не забудьте проверить, что iptables у вас запущен

На этом настройка закончена и теперь множественные попытки в короткий промежуток времени, даже если они будут успешными (т.е. на правильный exten), будут заблокированы на уровне iptables.

Подписаться
Уведомить о
guest
0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Остались вопросы?

Я - Кондрашин Игорь, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование


ближайшие курсы

10 доводов в пользу Asterisk

Распространяется бесплатно.

Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.

Безопасен в использовании.

Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.

Надежен в эксплуатации.

Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.

Гибкий в настройке.

Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.

Имеет огромный функционал.

Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.

Интегрируется с любыми системами.

То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.

Позволяет телефонизировать офис за считанные часы.

В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.

Отличная масштабируемость.

Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.

Повышает управляемость бизнеса.

Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.

Снижает расходы на связь.

Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.