[Gelöst] Fake-Anruf immer Abends

hpc-dietzi · 5 Dez 2012

Hi Leute,

ich hab seit ein paar Tagen das Problem, dass immer Abends Anrufe auf meinem Asterisk eingehen. Gehe ich ans Telefon, dann bekomm ich ein Besetzt-Zeichen. Diese Anrufe haben immer 3 bis 4stellige Nummern. Meistens ab der 100 aufwärts. Was will ein solcher Hacker mit diesen Anrufen bewirken? Wie kann ich mich gegen solche Attacken schützen? allowguest hilft hier ja nicht weiter (es kommen dann keine Anrufe mehr durch - nicht mal vom eigenen Anschluss).

Liebe Grüße
Dietzi

rentier-s · 6 Dez 2012

Kann es sein, dass Du im ankommenden Context eine allgemeingültige exten wie zB. _X. verwendest? Falls ja versuchen die Jungs eigentlich eine andere Nummer über Deinen Asterisk anzurufen.

hpc-dietzi · 6 Dez 2012

Der Default-Context sollte eigentlich gar nicht vorhanden sein. Ich nutze FreePBX. Es hatte schon ein Hacker geschafft andere Nummern anzurufen. Da hab ich nen Riegel vorgeschoben. Seitdem kommen nur noch Anrufe auf mein Festnetz (intern 101). Wie kann ich bei FreePBX überprüfen ob ein Default-Context existiert? Der Dialplan basiert auf MySQL

rentier-s · 7 Dez 2012

Wenn Du allowguests=yes verwendest, musst Du einen Standard-Context haben. Ob er "default" heißt liegt an der sip.conf.

Gib im CLI dialplan show 0987654321 bzw. dialplan show 0987654321@default ein. FreePBX verwendet soweit ich weiß keine echte Realtime Config.

Hamal · 7 Dez 2012

Der default-Context wird bei Freepbx unter Tools - Asterisk SIP Settings und dann unter der Rubrik Advanced General Settings eingestellt. Wenn ich mich richtig erinnere, muss dafür das Modul "Asterisk SIP Settings" installiert sein.

Wenn man das Feld leer lässt (empfohlen), wird der Default-Context from-sip-external benutzt. Dieser ist in der extensions.conf definiert und leitet die Anrufe auf ein Playback(ss-noservice) um.

hpc-dietzi · 7 Dez 2012

Was muss ich da im Default-Context einstellen damit die Incoming-Regeln trotz allowguests verarbeitet werden?

Hamal · 7 Dez 2012

Ich bin mir jetzt nicht sicher, was du genau erreichen möchtest. Wenn du das Feld 'default context' leer lässt, kann an sich nichts passieren, auch wenn allowguest = yes ist. Der automatisch generierte Freepbx Default Context "from-sip-external" lässt keine Anrufe nach draußen zu. Da sollte auch dein Telefon nicht klingeln. Wenn dein Telefon klingelt, muss der Anruf über einen deiner Trunks kommen, außer du hast in den Konfigurationsdateien (extensions_additional.conf oder extensions_override_freepbx.conf) manuell etwas geändert. In der letzteren kann man übrigens auch den automatisch generierten Default-Context überschreiben.

Und natürlich kommen auch noch Anrufe an, wenn du allowguest = no hast, solange du im jeweiligen Trunk-Context insecure=port,invite angegeben hast. Was allerdings dann nicht mehr geht, ist ein direkter Voip-Anruf auf eine sip:[email protected], z.B. bei Verwendung von ENUM.

hpc-dietzi · 7 Dez 2012

Hab jetzt mal allowguests auf no gesetzt und insecure auf port,invite. Folgende Meldung kommt:

[2012-12-07 14:42:23] NOTICE[16158]: chan_sip.c:22726 handle_request_invite: Failed to authenticate device +4915212345678 <sip:[email protected]:5060;user=phone>;tag=1533540392

Danach wird der Anruf beendet

Hamal · 7 Dez 2012

Steht da noch irgendeine Fehlermeldung oder Warnung davor?

hpc-dietzi · 7 Dez 2012

Nur das, was ich oben gepostet habe. Asterisk akzeptiert quasi die eingehende Verbindung nicht, da der Peer/User nicht existiert. Steht ja in der Meldung, dass die Authentifizierung fehlgeschlagen ist. Muss ich evtl. eine "Universal-Extension" erstellen?

Hamal · 7 Dez 2012

Die Authentifizierung kann aus verschiedenen Gründen fehlschlagen. Kannst du den remote asterisk mal mit mindestens verbose level 3 starten, also asterisk -vvvr und auch die Zeilen vor der Fehlermeldung oben posten?

Was meinst du denn mit "Universal Extension"?

hpc-dietzi · 7 Dez 2012

Ich habe verbose-level 7 und es kommt nur die Meldung wie oben. Mit "Universal Extension" meine ich: quasi ne Extension mit der Nummer .X anlegen ud als Passwort * oder so. Ich hab momentan keine Idee was das noch sein könnte.......

Hamal · 7 Dez 2012

Wieso Extension? Die Extensions sind dazu da, dass sich SIP-Telefone am Asterisk registrieren können. Was du benötigst, ist eine Inbound-Route für die ankommenden 1&1-Anrufe. Die Inbound-Route sorgt dann dafür, dass der Anruf an eine Extension weitergeleitet wird und dein Telefon klingelt. Wie sieht denn deine Inbound-Route aus?

hpc-dietzi · 7 Dez 2012

Die Inbound-Routen sind gesetzt und funktionieren auch ohne Probleme solange allowguests auf yes steht. Die Route kann ja nicht das Problem sein, da immer als Fehler die Authentication kommt. Sonst würde ja dort stehen "no destination set" (oder so ähnlich). Ich bekomme den eingehenden Anruf einfach nicht "authentifiziert". Auch fromuser=* oder fromdomain=1und1-5.sip.mgc.voip.telefonica.de helfen nicht weiter......

Hamal · 7 Dez 2012

Also, ohne in die detaillierte Konfiguration zu schauen, wird die Fehlersuche über das Forum natürlich schwierig, aber ich vermute mal, da ist irgendetwas in der Konfiguration der Trunks oder Inbound-Route falsch. Das insecure=invite sorgt eigentlich dafür, dass ein INVITE (also ein ankommender Anruf) eben keine Authentifizierung benötigt. Das einzige, was mir im Moment noch einfällt:

Hast du mehrere 1&1-Trunks? Hast du das insecure=port,invite für alle in den PEER Details eingetragen? Bei ankommenden Anrufen nimmt Asterisk den ersten Trunk, der passt, nicht unbedingt den mit dem richtigen Usernamen (es wird ja nicht authentifiziert!). Welchen Context hast du für die Trunks eingetragen? Das fromuser und fromdomain würde ich weglassen. Bei mir steht in den PEER Details z.B. so etwas:

Code:

username=me
type=peer
secret=geheim
host=sip.personal-voip.de
context=from-trunk
canreinvite=no
insecure=port,invite
language=de

hpc-dietzi · 7 Dez 2012

Die Config für incoming sieht bei allen Trunks so aus:

username=49*******
fromuser=49*******
defaultuser=49*******
secret=******
host=sip.1und1.de
fromdomain=sip.1und.1.de
qualify=yes
insecure=port,invite
nat=yes
context=from-trunk
type=user

Ich habe 5 1&1 Trunks

Hamal · 7 Dez 2012

Íncoming und type=user sind das Problem. Ist zwar unlogisch, aber das insecure=port,invite gehört in die Outgoing Settings unter PEER Details (also type=peer).

hpc-dietzi · 7 Dez 2012

Auch mit dieser Config kommt die gleiche Meldung:

username=49*******
type=peer
secret=*****
language=de
host=sip.1und1.de&
1und1-1.sip.mgc.voip.telefonica.de&
1und1-2.sip.mgc.voip.telefonica.de&
1und1-3.sip.mgc.voip.telefonica.de&
1und1-4.sip.mgc.voip.telefonica.de&
1und1-5.sip.mgc.voip.telefonica.de
context=from-trunk
canreinvite=no

insecure=port,invite steht bei outgoing. Type=user und type=peer brachten auch keinen Erfolg

Hamal · 7 Dez 2012

Ich bin da ehrlich gesagt überfragt, warum das bei 1&1 nicht funktioniert, bei personal-voip aber schon. Ich poste einfach nochmal meine Details:

PEER Details:

Code:

username=me
type=peer
secret=geheim
host=sip.personal-voip.de
context=from-trunk
canreinvite=no
insecure=invite
language=de

USER Details:

Code:

username=me
type=user
secret=geheim
host=sip.personal-voip.de
context=from-trunk
language=de

Das sollte so bei 1&1, sipgate u.a. mit einer passenden Inbound-Route auch funktionieren.

hpc-dietzi · 7 Dez 2012

Hab die Config 1 zu 1 übernommen. Mit allowguests=yes funktioniert's ohne Probleme. Setze ich jedoch allowguests=no, dann kommt immer wieder "Failed to authenticate....."

[Gelöst] Fake-Anruf immer Abends

Mitglied

rentier-s

Guest

Mitglied

rentier-s

Guest

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Statistik des Forums