2 votes

SPRBRN avatar

Appels fantômes en astérisque

Demandé el 8 de Décembre, 2016
Quand la question a-t-elle été
4893 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Problème

Nous avons un serveur Asterisk hébergé en externe. Sur quatre sites, nous avons reçu des appels fantômes. Il s'agit d'appels avec des numéros différents comme 1000, 9999 ou 6060. Nous n'utilisons pas ces numéros, ni même cette gamme.

NB : J'ai demandé une question à ce sujet auparavant, mais cela n'a pas abouti à une solution.

Il y a quelque temps, un téléphone (123) a eu ce problème. Ce téléphone était utilisé à domicile par un employeur. Je l'ai renvoyé et j'ai donné à l'employeur un nouveau téléphone avec un nouveau numéro (124). J'ai connecté le téléphone 123 dans mon bureau et je n'ai jamais eu de problème. Le téléphone 124 a commencé à avoir des problèmes après plusieurs semaines, donc pas tout de suite.

Pour moi, cela ressemble à un problème qui trouve son origine dans le réseau domestique de l'employé.

  • Nous avons eu ce problème dans trois maisons différentes.
  • Tous ces utilisateurs ont des routeurs à la maison, donc les téléphones ne sont pas connectés à l'internet directement.
  • Nous n'avons pas ce problème au bureau, je suppose que nous sommes mieux protégés là-bas.
  • Les problèmes ne restent pas éternellement. Ils vont et viennent, puis reviennent.

J'ai regardé dans les journaux d'Asterisk plusieurs fois, mais je n'ai rien trouvé qui s'y rapporte.

Questions

J'aimerais savoir comment cela fonctionne.

  • Ces appels proviennent-ils du réseau local de ces employeurs ?
  • Le serveur Asterisk joue-t-il un rôle ici ?
  • Qu'est-ce qui peut causer cela ? Est-ce un logiciel malveillant sur un ordinateur portable ?
  • Est-ce un processus inoffensif qui se connecte à ce téléphone et lui fait croire qu'un appel est passé ?

Et bien sûr :

  • Comment pouvons-nous nous débarrasser de ces appels ?
Demandé el 8 de Décembre, 2016 par SPRBRN

Réponses

Trop de publicités?

5voto

Najib Adan avatar
Najib Adan Points 31

C'est une force brute, les serveurs asterisk obtiennent toujours ce genre de chose s'ils sont connectés à l'IP publique.

Mes solutions sont :

  • Installez fail2ban, fail2ban configurera les iptables et rejettera les ip avec des tentatives d'échec continuelles vers l'astérix.
  • Désactiver la connexion sip des invités, mettre allowguest=no dans le sip.conf
  • Si vous utilisez un VPN, définissez le paramètre "from sip external" dans votre PBX.
  • Définissez le [default] pour vider le contexte.
Répondu el 14 de Décembre, 2016 par Najib Adan (31 Points )

3voto

Jarrod avatar
Jarrod Points 562

Cela est dû à des scanners automatiques, qui essaient probablement de forcer vos mots de passe.

Pour vous débarrasser de ces appels, vous devez désactiver les utilisateurs anonymes en plaçant les options suivantes dans le champ [general] de votre sip.conf

[general]
context=bogus
allowguest=no
alwaysauthreject=yes
Répondu el 8 de Décembre, 2016 par Jarrod (562 Points )

2voto

Caleb avatar
Caleb Points 1541

Comme vous l'avez indiqué, il s'agit d'un problème concernant les utilisateurs à domicile ou à distance, et il est fort probable qu'ils constatent deux choses. 1- L'invitation SIP qu'ils reçoivent n'a rien à voir avec votre serveur Asterisk. J'ai vu l'IP source être un serveur inconnu, ainsi que l'IP publique de l'utilisateur. 2- Si l'utilisateur décroche, il dira qu'il entend un air mort.

J'ai constaté ce problème principalement chez les utilisateurs qui utilisent des clients de téléphone logiciel SIP, ce qui facilite la collecte des messages SIP, et chez certains téléphones IP bas de gamme. Certains téléphones IP incluent une vérification sur l'invitation SIP entrante pour confirmer que la demande provient de la même IP que l'enregistrement SIP. Si l'invitation échoue à cette vérification, l'appareil ne répond pas à une invitation invalide.

J'ai oublié de mettre en signet un article de blog que j'ai trouvé, dans lequel ils affichaient plusieurs IP de scanners SIP qu'ils avaient trouvés. Cependant, la plupart des utilisateurs domestiques ne disposent pas d'un réseau capable de mettre en liste noire les IP de la liste. Si vous n'avez pas de système fail2ban sur votre serveur asterisk, vous devriez l'ajouter. Vous devriez également vous assurer que vos informations d'identification SIP n'incluent pas le numéro ISDN de l'utilisateur.

VOS QUESTIONS :

  1. Ces appels proviennent-ils du réseau local de ces employeurs ? Il est fort probable que non, bien que le message SIP puisse l'indiquer. Je suppose qu'il y a une petite chance qu'un matériel infecté sur leur réseau puisse essayer de générer ces appels, mais il est plus probable qu'il s'agisse d'un robot qui scanne toutes les adresses IP publiques.

  2. Le serveur Asterisk joue-t-il un rôle ici ? Il est fort probable que votre serveur Asterisk ne génère pas ces appels fantômes. Vous devriez pouvoir consulter vos journaux et confirmer que ce n'est pas le cas.

  3. Qu'est-ce qui peut causer cela ? Est-ce un logiciel malveillant sur un ordinateur portable ? Très probablement un bot essayant des IP publiques. Il est peu probable qu'un logiciel malveillant soit à l'origine du problème mais, par expérience, les softphones sont plus susceptibles de traiter les invitations SIP fantômes différemment des téléphones IP.

  4. Est-ce un processus inoffensif qui se connecte à ce téléphone et lui fait croire qu'un appel est passé ? En général, c'est plus gênant que dangereux. Si vous constatez que la même chose se produit sur votre serveur Asterisk, vous devez renforcer votre serveur. Une invitation vers un appareil d'utilisateur final serait plus difficile à trouver pour facturer le service à l'utilisateur, bien qu'il doive y avoir une raison pour laquelle quelqu'un s'étend pour ces services pour commencer.

Répondu el 17 de Janvier, 2017 par Caleb (1541 Points )

0voto

Mr Zach avatar
Mr Zach Points 239

Si le problème ne se pose qu'au domicile, je chercherais à savoir quelle est la différence entre votre bureau et votre domicile. Je pense qu'il y aurait des appels fantômes au bureau et à la maison s'il y a quelque chose avec le serveur asterisk/la connexion Internet.

Je pense qu'il pourrait y avoir une combinaison du téléphone et de l'emplacement de la maison. Je ne sais pas quel type de téléphone vous utilisez, mais vous devriez d'une manière ou d'une autre vous assurer de désactiver les appels anonymes entrants sur les téléphones. Si c'est le cas, vous devriez également vérifier si les téléphones sont connectés avec une IP publique ou si le routeur est configuré pour transférer le port 5060 vers le téléphone SIP (cela est souvent fait pour "résoudre" les problèmes audio).

Si vous avez un client/serveur SIP connecté à une IP publique sur le port 5060, vous recevrez de nombreuses tentatives de connexion/appels fantômes de la part de personnes essayant d'utiliser votre crédit pour acheminer leurs appels SIP (nous avons eu un client qui en a fait l'expérience, son asterisk a été utilisé par une compagnie de téléphone et ils ont acheminé des appels téléphoniques vers Cuba pendant certaines heures du week-end et les clients ont perdu jusqu'à ce que son compte soit fermé. Il a perdu environ 50 000 dollars)

Si vous pouvez éviter d'utiliser le port 5060, vous devriez envisager de changer votre port sip.

Répondu el 17 de Décembre, 2016 par Mr Zach (239 Points )

0voto

JK ABC avatar
JK ABC Points 411

Il est fort probable que le téléphone IP ne vérifie pas la source des invitations entrantes. Cela peut être activé sur la plupart des téléphones IP et je suggère d'utiliser l'authentification appel par appel avec l'enregistrement.

Répondu el 17 de Août, 2017 par JK ABC (411 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X