Яндекс.Метрика

RealTime в Asterisk: архитектура и конфигурация

RealTime в Asterisk: архитектура и конфигурация с 5 октября по 9 октября

Количество
свободных мест

8 Записаться

Курсы по Mikrotik MTCNA

Курсы по Mikrotik MTCNA с 2 марта по 6 марта

Количество
свободных мест

4 Записаться

Курс по Zabbix

Zabbix: мониторинг Asterisk и VoIP с 2 марта по 6 марта

Количество
свободных мест

8 Записаться
Безопасность PJSIP
31
Доклад
Николай Шакин
Безопасность PJSIP

Безопасность PJSIP

В IP-телефонии вопросы безопасности напрямую связаны с финансовыми рисками. Неправильная настройка SIP-сервера может привести к сливу трафика и крупным счетам всего за одну ночь. Современный стек PJSIP предоставляет встроенные механизмы защиты, которые позволяют значительно сократить вероятность таких инцидентов по сравнению с устаревшим chan_sip.

Как работает слив трафика

Слив трафика представляет собой организованную мошенническую схему, в которой участвуют злоумышленники и недобросовестные операторы связи. После взлома SIP-сервера жертвы через него инициируются массовые звонки на заранее подготовленные номера.

Типовая цепочка выглядит следующим образом:

  • взлом SIP-сервера компании;
  • генерация большого количества исходящих вызовов;
  • оплата трафика владельцем сервера;
  • распределение прибыли между участниками схемы.

Главная опасность заключается в масштабе: один звонок почти незаметен, но тысячи одновременных вызовов быстро превращаются в серьёзные финансовые потери.

Сканирование SIP-сети и OPTIONS-запросы

Атака практически всегда начинается со сканирования сети. Для этого используются SIP-сканеры, рассылающие OPTIONS-запросы, не требующие авторизации. Ответ сервера позволяет злоумышленнику понять, что на хосте работает SIP, а нередко и определить тип и версию ПО.

В chan_sip такие запросы обрабатываются полностью прозрачно для администратора. В PJSIP ситуация улучшена:

  • факт сканирования фиксируется в логах;
  • виден IP-адрес источника;
  • появляется возможность автоматической блокировки через fail2ban.

Это не устраняет проблему полностью, но существенно сокращает время реакции.

ACL и фильтрация трафика в PJSIP

Одно из ключевых преимуществ PJSIP — глобальные списки доступа (ACL). Они позволяют задать, из каких сетей SIP-трафик вообще будет приниматься, а все остальные запросы сразу отклонять.

Дополнительно доступна фильтрация по полю Contact, что особенно эффективно против автоматизированных инструментов взлома. Такой подход:

  • уменьшает поверхность атаки;
  • позволяет блокировать злоумышленников на ранней стадии;
  • упрощает интеграцию с системами защиты.

Хотя сервер всё ещё отвечает отказом, контроль становится централизованным и предсказуемым.

Перебор паролей и гостевые звонки

В chan_sip логика ответов сервера позволяет понять, существует ли пользователь и верен ли пароль. Это делает перебор учётных данных относительно простым. В PJSIP поведение изменено принципиально: при неверных данных сервер повторно запрашивает авторизацию, не раскрывая результат проверки.

Также важно, что:

  • гостевые звонки в PJSIP отключены по умолчанию;
  • сервер не принимает INVITE от неизвестных узлов;
  • анонимные сценарии требуют явного и осознанного включения.

Это исключает целый класс атак, связанных с неавторизованными вызовами.

Заключение

PJSIP предлагает более современный и безопасный подход к работе с SIP в Asterisk. Глобальные ACL, иное поведение при авторизации, отключённые гостевые звонки и расширенное логирование позволяют существенно снизить риск слива трафика. При грамотной настройке эти механизмы делают SIP-инфраструктуру более устойчивой, управляемой и предсказуемой с точки зрения безопасности.

 

Ежегодная конференция по Asterisk 2025!

Билеты уже в продаже!

Остались вопросы?

Я - Виталий Шелест, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

Наши
клиенты

Посмотреть все