レーキ、または5つの典型的なアスタリスク構成エラー

この記事は、 アスタリスクの初心者ユーザーを対象としていますが、

CCNAレベルでのコンピュータネットワークの運用に関する知識があり、専門コースなしでIPテレフォニーの基礎を学んだ人。





1.匿名通話をオフにせず、番号計画にデフォルトのコンテキストを使用した



問題

デフォルトでは、アスタリスクには匿名呼び出しが含まれているため、世界中のどこからでも直接呼び出すことができ、ドメインの番号を呼び出しの宛先として示し、DNSの動作に依存します。 これは非常に便利な機能ですが、メインの番号付けにデフォルトのコンテキストを使用すると、トリックをすることができます。 たとえば、電話番号@ your_domainにリクエストを送信したユーザーは、あなたの費用でintercityを呼び出すことができます。



解決策

常に従うべき最初の規則は、番号付けにデフォルトのコンテキストを使用しないことです。 覚えている

デフォルトのコンテキストは、インターネットからの匿名呼び出し専用です。すべての中で最も信頼できないものと考えてください。 匿名通話を受信する予定がない場合は、必ず切断してください。

sip.conf [general] allowguest=no
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2.有効なユーザー名とパスワードを使用した登録要求と、存在しないユーザー名を使用した要求に対する応答が異なります。



問題

インターネットには、他の人の費用で電話をかけたい人が十分にいるので、人生をできるだけ複雑にする必要があります。 アスタリスクは、デフォルトでは（最近までですが、突然最新ではないバージョンになります）、無効なユーザー名と有効な名前で無効なパスワードを使用した登録試行に対して異なる応答をします。 これにより、攻撃者がサブスクライバーの既存の名前を見つけて、意図的にそれらのパスワードを選択する機会が生まれます。



解決策

 sip.conf [general] alwaysauthreject = yes
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

3. ACLや動的アクセス制御を使用しません



最後の段落での努力にもかかわらず、パスワードを選択することはまだ可能であるため、すべての場合において、可能な場合はいつでも、アクセス制御規則（acl）を使用する必要があります。

 sip.conf [my_user] deny=0.0.0.0/0 permit=172.16.0.0/12 ;  ,    
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

aclを使用できない場合があります-サブスクライバは任意のネットワークから登録できます。 この場合、fail2ban-Asteriskログ処理ユーティリティなどの動的なブロックツールを使用して、多くの失敗した登録試行が行われたアドレスを識別してブロックする必要があります。



4.ナンバリングに関して、_を逃したため、電話がかからないことに驚く



かなり単純な間違いですが、初心者によく見られます。



間違った

 [citycalls] exten => XXXXXX,1,Dial(DAHDI/g1/${EXTEN})
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そうだね

 [citycalls] exten => _XXXXXX,1,Dial(DAHDI/g1/${EXTEN})
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初のケースでは、テンプレートを指定せず、XXXXXX（x-x-x-x-x-x-x）の呼び出しを指定しました。 パターンは_で指定されることを覚えておいてください



5. natを使用すると、音は一方向にしか流れません



アスタリスクと加入者の作業のトピックは、異なる構成でアドレスの変換が行われるため、この記事の範囲を超えるほど広範ですが、それでもいくつかの有用なヒントを提供します。

1. 音が出ない場合は、紙を取り、トラフィック（SIPだけでなくRTPも）がクライアント間をどのように移動するかを示します。 すでにこのステップでは、特にNATがどのように機能するかを知っている場合、多くを理解できます。
2. クライアントがnatの背後に潜在的に配置されている場合、会話を録音するために必要なすべてのトラフィックがアスタリスクを通過する必要がない場合は、クライアントを再招待（sip.confの対応するセクションでcanreinvite = no）させたり、directmedia = nonatを設定したりしないでください。
3. 1つ選択してください：AsteriskでのnatのサポートまたはOSのファイアウォールでのSIPサポート：Windows ISA Serverでは、Asteriskでのnatサポートと並行して有効になっているSIPサポートにより、音がまったく聞こえないため、OSに影響を与えない場合は、nat = noに設定しますsip.confの関連セクション
4. ポート5060 / udpのトラフィックに加えて、オーディオデータはRTPプロトコルを介してudpポートを介して送信されます。その範囲はrtp.conf（デフォルトでは100005）-20000で指定されます）
5. 他のすべてが失敗した場合は、Asteriskでデバッグを有効にしてtcpdumpを使用します。これにより、リクエストと音声トラフィックの行き先を確認でき、問題の理解はソリューションの90％です。

アスタリスクの学習を頑張ってください！