asterisk 1.8.5.0 как - хакнули (набор через INVITE) :-(

[gotik]

Дома стоит астериск, на нем один GSM и sipnet. Сегодня стал жертвой. Кто - без подбора паролей, просто через INVITE звонил с моего астера, потратили все бабки на sipnet. Это конечно обидно, но дело не в том. Как это возможно ?

-------Что было замечено в консоли
== Using SIP RTP CoS mark 5
[Sep 10 18:15:11] NOTICE[5634]: chan_sip.c:21977 handle_request_invite: Call from '' (85.195.93.238:13568) to extension '0050928129000' rejected because extension not found in context 'phones'.
== Using SIP RTP CoS mark 5
[Sep 10 18:15:11] NOTICE[5634]: chan_sip.c:21977 handle_request_invite: Call from '' (85.195.93.238:13568) to extension '0050928129000' rejected because extension not found in context 'phones'.
== Using SIP RTP CoS mark 5
[Sep 10 18:15:11] NOTICE[5634]: chan_sip.c:21977 handle_request_invite: Call from '' (85.195.93.238:13568) to extension '0050928129000' rejected because extension not found in context 'phones'.
------- Это из cdr
"","unknown","00213550655984","phones","""SipPhone"" <unknown>","SIP/85.195.93.238:13568-00000093","SIP/sipnet-00000094","Dial","SIP/sipnet/00213550655984","2011-09-10
13:47:33","2011-09-10 13:47:54","2011-09-10 14:12:53",1520,1499,"ANSWERED","DOCUMENTATION","1315662453.205",""

"","unknown","00442075501000","phones","""SipPhone"" <unknown>","SIP/85.195.93.238:13568-0000006d","SIP/sipnet-0000006e","Dial","SIP/sipnet/00442075501000","2011-09-10
13:36:23","2011-09-10 13:36:28","2011-09-10 13:36:29",6,1,"ANSWERED","DOCUMENTATION","1315661783.167",""

"","unknown","0053335943","phones","""SipPhone"" <unknown>","SIP/85.195.93.238:13568-000000bf","SIP/sipnet-000000c0","Dial","SIP/sipnet/0053335943","2011-09-10 14:13:53
",,"2011-09-10 14:13:53",0,0,"NO ANSWER","DOCUMENTATION","1315664033.249",""

-------------------
До чего додумался с ходу, включил опции
alwaysauthreject = yes
auth_options_requests = yes
и сменил contex по умолчанию на заглушку.

Пока не решаюсь класть деньги на sipnet. Скажите, как можно было делать звонки, не будучи прописанным в пирах ?

Я новичек в asterisk, не пинайте сильно пожалуйста.

[Vlad1983]

сам ответил

и сменил contex по умолчанию на заглушку

не надо из контекста по умолчанию разрешать куда либо выход
только exten => _.,1,Hangup, если это действительно необходимо прописывать конкретные екстены (хотя такой необходимости за несколько лет практики ниразу не было), но никаких вольностей
никаких разрешений на исход из ivr
никаких неправильных контекстов в очередях
deny/permit в пирах
быть осторожным с Goto в контексты, из которых есть выход

хорошо все обдумывать и проверять

[ded]

Четать: http://asterisk.ru/news/142
Этот случай - наглядная иллюстрация полемики на форуме: чем больше разъяснений - тем ниже порог понимания новичков, которые не хотят читать книжки, рыться в Гугле по своим вопросам, зачем? Ведь есть форум?

Стандартизация запросов, ответов, шаблонизация обращений, надо внедрять, 100-пудово.

Я новичек в asterisk, не пинайте сильно пожалуйста.

1. "Здравствуйте! Я новичок, прошу сильно не пинать, раньше не имел дела с Линуксом, 3-й день с Астериском, совершенно измучился уже!"

2. "Уважаемые! У меня совершенно нет времени на изучение этих умных книжек и Астериска, а начальство поставило задачу .......... (нужное вписать). Помогите! Горю!"

Дома стоит астериск, на нем один GSM и sipnet. Сегодня стал жертвой. Кто - без подбора паролей, просто через INVITE звонил с моего астера, потратили все бабки на sipnet. Это конечно обидно, но дело не в том. Как это возможно ?
Пока не решаюсь класть деньги на sipnet. Скажите, как можно было делать звонки, не будучи прописанным в пирах ?

А вот как - http://forum.asterisk.ru/viewtopic.php?f=5&t=852
Одного настроенного пира мало. Обычно никак не настроить аутентификацию (username&secret) для входящих от провайдера, прочтут где-то в сети про allowguest=yes
и ставят. Лишь бы заработало!

[gotik]

ded, я понимаю, что ваше фи, очень актуально. Я даже не спорю. Перечитал много рекомендаций, поисковиком тоже пользуюсь. Вопросы в форумах задаю только в крайней необходимости. Выше человек написал, что из дефолтового контекста нельзя отдавать выходы - я так и сделал. default у меня просто заглушка. в sip.conf - в контексте по умолчанию для непрописанных у меня тоже в настройках стоит контекст в котором заглушка. Уже это понял. Все исходящие были с контакста, который был прописан в пирах sip.conf, а так - же, тоже моя ошибка, что прописал контекст по умолчанию в sip.conf, тот, который используется для клиентов. DED я просто по человечески прошу, просто не макать в лужу. Я действительно свои ошибки вижу. Вопрос просто в том, как работает этот механизм с INVITE ? Есть натройка auth_options_requests, которая будет требовать авторизацию при посылках OPTION и INVITE, имеет - ли смысл ее использовать + контекст по умолчанию в sip.conf, который будет просто заглушкой ?

[gotik]

ded, на счет Линукса, очень прошу не обижать Я embededщик, причем уже со стежем....

[gotik]

Пиры прописаны нормально, гостевых входов нет.
Allow unknown access: No

[gotik]

Вот как прописан пир
[702] ; Дудченко
context=phones_dk
type=friend
secret=********
nat=yes
host=dynamic
disallow=all
allow=gsm
allow=ulaw
allow=alaw
allow = g729
callerid=702
mailbox=702

[ded]

Я тоже по-человечески прошу посмотреть: это не лужа. Это реальность, это другой опыт. Сложно раскурить самому, линуксоиды обижаются особенным образом: типа, есть опыт. Но этот опыт (дистры, файловые системы, компилляция, пакеты) никакой пользы не приносит при столкновении с SIP!
Потому как отдельная, новая для них тема. Её сложно объяснять ещё и ещё раз на форуме, как-то надеемся, что уже толково всё собрано в копилке знаний, надо просто вчитаться.
peer
user
friend
context
invite
username
secret
insecure
не считая мелких брызг.
Каждое из этих понятий имеет ключевое значение в организации SIP with Asterisk! Нужно врубиться во ВСЕ.
Если уж вписано context=phones_dk, то без анализа этого контекста, и всех его ветвлений через include ничего нельзя сказать (я не хочу анализировать самописные конфиги).

Это было моё, мизантропное, сугубо субъективное и потому абсолютно неверное мнение. Которое, тем не мение, может быть высказано в открытой корректной форме. По хаку - все претензии Вадиму Макаренко из Тирасполя, ул. Ленинградская, 82

[gotik]

ded, я не злюсь и не обижаюсь. Ошибку нашел..... Тему можно удалять...... Исходники с svn, проехали....
Тему можно удалять.....

[gotik]

Видимо зацепил совсем девелупную.... Всем сорри....