VoIP-Info.jp - 利用者の投稿記録 [ja]

Asterisk 20 サンプル設定ファイル解説 pjsip

2026-01-21T03:55:40Z

Hhiwada: /* udptl.conf */

[[カテゴリ:Asterisk]]
[[カテゴリ:pjsip]]
[[カテゴリ:サンプル設定ファイル]]

PJSIPの設定は基本がpjsip.confですが可読性を上げるため複数のファイルに分けて#includeしています。 
PJSIPの各種パラーメータは [[Asterisk_pjsip_parameters]] を参照してください。
=pjsip.conf=
[system]
type = system
disable_rport = yes

[transport-udp]
type = transport
protocol = udp
bind = 0.0.0.0:5070
local_net = 192.168.0.0/16

[acl]
type=acl
deny=0.0.0.0/0.0.0.0
permit=192.168.0.0/16
;ITSP/IP電話によってはpermitを指定する必要あり
;SIPメッセージ上で『見える』IPアドレスに注意

;ブラウザフォン用トランスポート(Websocket)
;使う場合にはコメントを外す
;#include "pjsip_wsstransport.conf"

;外線接続用例
;#include "pjsip_trunk_hgw.conf"
;#include "pjsip_trunk_hikari-rtx.conf"
pjsip.conf には基本の設定を記述しています。トランスポートは基本はUDPでポートを5070としています。SIPのデフォルトである5060ではなく5070な点に注意してください。 
外線接続時はACLの設定に注意してください。ACLで引っ掛かるとCLIに出ますのでメッセージを確認し所定のアドレスに許可を与えるようにします。 
WSS(Websocket)トランスポートはブラウザフォン用です。使用する場合にはコメントを外します。
=pjsip_wizard.conf=
電話機の収容設定はpjsip_wizard.confで行っています。ただしサンプル設定ファイルのセットではpjsip_wizard.confはスクリプト、pj_phonegen.shで生成できるようにしてあります。 
電話機の基本設定は共通部分はテンプレート化してあります。
;電話機用テンプレート(共通設定)
[phone-defaults](!)
type=wizard
transport = transport-udp
accepts_registrations = yes
sends_registrations = no
accepts_auth = yes
sends_auth = no
endpoint/context = default
endpoint/dtmf_mode = rfc4733
endpoint/call_group = 1
endpoint/pickup_group = 1
endpoint/language = ja
endpoint/disallow = all
endpoint/allow = ulaw
endpoint/rtp_symmetric = yes
endpoint/force_rport = yes
endpoint/direct_media = no
endpoint/send_pai = yes
endpoint/send_rpid = yes
endpoint/rewrite_contact = yes
endpoint/inband_progress = yes
endpoint/allow_subscribe = yes
aor/max_contacts = 2
aor/qualify_frequency = 30
aor/authenticate_qualify = no
aor/remove_existing = yes
各パラーメータの意味と内容は [[Asterisk_pjsip_parameters]] を参照してください。スラッシュ(/)で区切られているものはそれぞれのセクションに記述すべき内容のことで、例えば endpoint/context= は endpoint セクションに書く context= の意味です。テンプレートは普通の電話機用とブラウザフォン用の2つが用意されています。 
各電話機部分は基本、認証情報のみです。
[phone1](phone-defaults)
inbound_auth/username = phone1
inbound_auth/password = f0064c965a91e513fec766ac0d658ed8
phone1はテンプレートにphone-defaultsを使用し、認証情報はusernameとpasswordで行います。 
参考：電話機に対してQualifyした際に認証エラーが出る場合(GS電話機など)には電話機に対して認証付きでQualifyを投げます。その際の認証情報は以下のように記述します。
[phone1](phone-defaults)
inbound_auth/username = phone1
inbound_auth/password = f0064c965a91e513fec766ac0d658ed8
outbound_auth/username = phone1
outbound_auth/password = f0064c965a91e513fec766ac0d658ed8
outbound_authも入れるようにシェルスクリプトを修正するのもアリです。
[[カテゴリ:Asterisk]]
[[カテゴリ:pjsip]]

=内線の抽象化=
今回のサンプル設定ファイルからは少し"難しく"してあり、内線を抽象化しています。これは何かというとPJSIPのエンドポイントと内線番号を"紐付けない"方針です。 
従来のサンプル設定ファイルでは次のようにしていました。 
まずPJSIPの設定では
[201]
type=endpoint
.
.
[201]
type=auth
.
.
のようにPJSIPのエンドポイントとして内線番号を使っていました。こうすることによりextensions.confでは
exten _2XX,1,Dial(PJSIP/${EXTEN})
のようにDial()することでエンドポイントを呼び出すことができました。この方法はとても簡単であり、かつわかりやすいという特徴を持ちます。 
ところが内線番号の『付け替え』等の際にはエンドポイントの設定を書き換える必要があり、電話機の設定も書き換える必要があります。 
今回のサンプル設定ファイルではこの「紐付け」をやめ、エンドポイントと内線番号は切り離しています。
phone1 => 内線201
このような紐付けはAsteriskのAstDBで行っています。このため、ある電話機、例えば自分の机の上の電話機の内線番号を201から301に変更したい、というような場合にはAsterisk側の設定(DBコマンドの投入)だけで行え、PJSIPのエンドポイント設定は触る必要がありません。触る必要がないのでAsteriskのリロードも不要です。 
唯一問題があるとすれば電話機の液晶表示等が内線番号ではなくphone1のようなエンドポイント名になることですが、これは電話機設定で表示を変更できるものは変更するだけですし、液晶以外にテプラ貼ってたりしませんか？ 
抽象化の実装方法についてはextensionsの内容をみてください。
=rtp.conf=
ついでにrtp.confの内容も説明しておきましょう。
[general]
rtpstart=10000
rtpend=11000
rtcpinterval=5000
SIPは呼制御を行うだけですので、実際の音声(メディア)はRTPを使ってやりとりされます。このRTPでAsterisk側が使うポート範囲を指定します。サンプル設定ファイルでRTPは10000～11000の範囲を使います。 
RTCPはブラウザフォンの一部がこの設定が必要となっていたため入れてあります。rtcpintervalはRTCPを投げる間隔をミリ秒で指定するので5秒間隔という設定になります。
=udptl.conf=
DTLSでUDPを使う場合の設定です。
[general]
udptlstart=4000
udptlend=4999
udptlfecentries = 3
udptlfecspan = 3
;use_even_ports = no
DTLSでUDPを使う場合のAsterisk側のポートが4000～4999を使います。 
udptlfecentriesはUDPLパケット内のエラー訂正エントリの数を、udptlfecspanはUDPLパケット内のFECでどのパーティが計算されるかのスパンを指定します。 
こちらもブラウザフォン等でDTLSを使用する場合の相手にあわせて設定を調整します。

Asteriskコンサルタント

2022-05-16T15:10:26Z

Hhiwada: /* デンフォン株式会社 */

[[Category:Asterisk]]
Asteriskを使ったサービスや開発等を行っている組織/個人の一覧です。各種依頼等の連絡にお使いください。

自社＆自分を宣伝したい方はページを更新してください。

なお、無料サポート・質問等の窓口ではありません。ビジネスとしての問い合わせ以外はユーザグループ等をご利用ください。
 
'''編集権限のあるメンバーはリンク切れを発見した場合にはエントリの削除を行ってください。'''

==メーリングリスト==
Asteriskユーザ会としてGoogle Groupで運用しています。 
流量があまり無いためビジネス系もこちらで行っていただいてかまいません。 
http://groups.google.com/group/asterisk-ug

==会社等==
===コンピュータ利用促進協同組合（略称 CCP) / 株式会社アースワークス===
:住所：〒400-0857 山梨県甲府市幸町 13-21 共栄ビル
:電話：055-244-7663
:担当：小西
:ウェブ：http://ews.jp/
:ウェブ：http://www.iweave.jp/
:ウェブ：http://www.ccp.or.jp/
:取扱製品：ひかり電話ゲートウェイ、開発、サポート、技術支援

===デンフォン株式会社===
:住所：〒106-0032 東京都港区六本木2-4-9 アソルティ六本木１丁目ビル4F
:電話：03-4550-1405
:担当：鶸田(ひわだ)
:ウェブ：https://www.denphone.com
:取り扱い製品：IP電話機(Polycom, snom, Cisco, Grandstream, Linksysなど)、Digium製品、sangoma製品、Dialogic製品など

===株式会社コミュニケーションビジネスアヴェニュー===
:住所：〒239-0847　神奈川県横須賀市光の丘３番４号　YRP(横須賀リサーチパーク)センター1番館 508号室
:電話：046-821-3362
:ウェブ：http://www.cba-japan.com
:ショップ：http://cba.shop-pro.jp/
:取り扱い製品：trixbox Pro(ビジネス向けasterisk), Sangoma製品、Polycom、ダイアロジックボードなど

===有限会社クラフト===
:住所：〒701-1221 岡山県岡山市北区芳賀5303 岡山リサーチパークインキュベーションセンター内
:電話：086-239-6031
:担当：田口
:ウェブ：http://www.craft-inc.net/
:メール：craft-webmaster@craft-inc.net

===株式会社あすか===
:住所：〒530-0027　大阪市北区堂山町2-1 三共梅田ビル3F
:電話：06-6131-1267
:ウェブ：https://www.aska-ltd.jp/jp/service/81
:お問い合わせ：inquiry@aska-ltd.jp
:担当：宗近
:担当範囲：Asteriskの導入コンサル等

===有限会社ＩＰ－Ｓ===
:住所：〒562-0004　大阪府箕面市牧落１－１－３
:電話：072-736-9300
:お問い合わせ：ttaniguchi@ip-s.biz
:担当：谷口
:取り扱い製品：アイコムIP電話、フュージョンコミュニケーションズＩＰ電話、フュージョンモバイルＩＰ電話、沖電気ＢＶシリーズ、古河電工、富士通、アライドテレシス、アレクソン、ＶＭｗａｒｅ他。
:取り扱い業務：各種導入コンサルティング、保守・運用サポート、海外設置

===株式会社テクノアント===
:住所：〒650-0024　神戸市中央海岸通３丁目１－１KCCビル
:電話：078-907-6101
:お問い合わせ：info@technoant.com
:担当：山崎
:担当範囲：通信環境およびAsterisk導入コンサルティング

===株式会社ＲＥＬＡＴＩＯＮ===
:住所：〒708-0814　岡山県津山市東一宮 21-1
:電話：0868-27-7744
:URL：http://www.rel-ltd.com/
:お問い合わせ：takatori@rel-ltd.com
:担当：鷹取
:担当範囲：Asterisk導入コンサルティング　ネットワーク設計

===株式会社iSERVE===
:住所：〒108-0073　東京都港区三田4丁目7-19　ハタビル5階
:電話：03-6420-3234
:URL：http://www.iserve.jp/
:お問い合わせ：sales@iserve.jp
:担当：松原／橋本
:担当範囲：基盤情報システムの設計、構築、運用およびコンサルティング（アセスメント、調達支援など）
:取り扱い製品：サーバ、ストレージ、ネットワーク、セキュリティおよびVoIP（IP-PBX, IP Phoneなど）関連製品、基盤情報関連ソフトウェア
:その他：フュージョンコミュニケーションズ社販売代理店、VMware社VAC/VIP、EMC社販売代理店、NetApp社CDP、Nexenta社販売代理店

===スターシステムズ株式会社===
:住所：〒107-0062　東京都港区南青山7-10-3 南青山STビル5Ｆ
:電話：03-5774-4086
:URL：http://www.starsystems.co.jp
:お問い合わせ：asterisk-sales@starsystems.co.jp
:担当：Asteriskテクニカルサポート営業担当
:取り扱い製品：Digium認定ボードの販売、Asteriskのサポートサービスを提供します。AsteriskベースのCTIソリューション開発やナカヨ電子サービス社のIP電話機も取り扱っております。

===株式会社and One===
:住所：〒150-0002　東京都渋谷区渋谷1-17-8 松岡渋谷ビル
:電話：03-5774-1660
:URL：http://www.andone.co.jp
:お問い合わせ：and1-contact@andone.co.jp（http://www.andone.co.jp/contact/）
:担当：and Oneインフォメーションセンター
:取り扱い製品：Asteriskベースの『Primus』は、機能性・操作性・柔軟性・コストパフォーマンスに優れたIP-PBXソフトウェアです。
:NTT東西が提供する、フレッツ光ネクストによる電話サービス「ひかり電話」、NTTCom Arcstar IP Voice、FUSION IP-Phone、KVH VoiceLINE IPの直収が可能です。
:また、Asteriskのコンサルティングから、組み込み開発まで承りますので、ご相談ください。
:導入事例：http://www.andone.co.jp/primus/example/

===株式会社ソフツー===
:住所：〒103-0004　東京都中央区東日本橋1-1-7 野村不動産東日本橋ビル5F
:電話：03-4455-7300
:URL：http://www.softsu.co.jp
:お問い合わせ：https://www.softsu.co.jp/contact.php
:担当：お問合せ窓口よりご連絡ください。
:取り扱い業務： Asteriskベースのクラウドコールセンターシステム「[http://bluebean.softsu.com BlueBean]」の開発及び提供をしています。
:プレディクティブコール利用可能なアウトバウンド/インバウンドのオールインワン型クラウドコールセンターシステムです。
:Webから契約でき、安価で簡単に始められます。

===メディアリンク株式会社===
:住所：〒108-0014　東京都港区芝5-31-17 PMO田町5F
:電話：03-3455-2700
:URL：https://www.medialink-ml.co.jp
:お問い合わせ：https://www.medialink-ml.co.jp/form/
:担当：前田
:取扱製品： Asteriskベースのオフィス向けIP-PBX『MediaOffice』／コールセンター向けIP-PBX『MediaCalls』／IVR『MediaVoice』、IP電話機、各種NW機器
:取扱業務：コンタクトセンターシステム（CTIソリューション）をはじめ、さまざまなシステムのコンサルティングから設計・製造・運用支援・保守サービス
:主な導入実績：
:　大手通信事業者様　　　MediaVoice　400ライセンス（80万コール／月の稼働実績）
:　大手人材派遣業者様　　MediaVoice　40ライセンス（1万コール／月の稼働実績）
:　大手広告代理店様　　　MediaVoice　40ライセンス
:　大手決済代行会社様　　MediaOffice 400ライセンス
:　大手テレビ局様　　　　MediaOffice 100ライセンス
:　通信事業者様　　　　　MediaOffice 1,000ライセンス
:　ほか多数（導入実績10,000席以上）

===株式会社ワイドテック===
:住所：〒101-0032 千代田区岩本町2-11-2 イトーピア岩本町二丁目ビル4F
:電話：03-5829-4886
:取扱製品：クラウド型電話転送サービス「転送録」は、Asterisk/NTT/FUSIONを使用した下記のサービスをご提供しております
:　　　　　・転送先増設　　　ボイスワープなどの［転送先を増設］
:　　　　　・順次転送　　　　転送先を［順番に呼び出し］
:　　　　　・一斉呼出転送　　転送先を［一斉に呼び出し］
:　　　　　・自動分配転送　　転送先を［均等に呼び出し］
:　　　　　・自動音声受付　　音声ガイダンスで［自動で受付］
:　　　　　・チェックコール　自動ダイヤル・応答確認
:　　　　　医療系緊急コールやクリニックの診療時間外の連絡対応、大手メーカのサービス部門の時間外コール対応など、幅広い分野でご採用いただいております。
:URL：https://www.10so6.com/
:お問い合わせ：10so6.support@widetec.com
:担当：「転送録」お客様相談センター

===株式会社オプトエスピー===
:住所：〒161-0033　東京都新宿区下落合1-6-1 宮村ビル2階
:電話：03-3360-3688
:ウェブ：http://www.optsp.co.jp/
:お問い合わせ：cti-solution@optsp.co.jp
:取扱製品：AsteriskベースのIP-PBX「FlexPhone」、Asteriskと親和性のある録音システム「OrekaTR」

===株式会社シーボーン===
:住所：東京都中央区京橋2-1-1
:ウェブ：http://www.c-borne.com/
:メール：info@c-borne.com
:電話：050-5810-3085
:担当：田代
:取扱製品：Asteriskベース、IP-PBX「Re-Vox」
:取扱サービス：基盤情報システムの設計、ネットワーク設計、セキュリティ、構築、運用およびコンサルティング

===株式会社メディアシステム===
:住所：〒812-0011 福岡市博多区博多駅前2丁目12番3号 HAKATAエフビル 7階
:電話：092-477-5600（担当：原田、廣石）
:住所：〒105-0003　東京都港区西新橋1丁目18番6号　クロスオフィス内幸町12階
:電話：03-6433-2525（担当：山口、石橋）
:住所：〒904-1103　沖縄県うるま市石川赤崎2丁目20－1　うるま市IT事業支援センター　2号館1F　インキュベーション室４
:電話：098-917-4027
:ウェブ：http://www.media-system.co.jp/
:メール：info@media-system.co.jp
:取り扱い製品： 
　　　　Asteriskベースの「コールセンターシステム／自動音声応答システム／FAXシステム」の開発を行っております。 
　　　　長年の開発実績を活かし、小規模～大規模、クラウド／オンプレミス問わず、幅広くご対応が可能です。 
　　　　テレワークに対応したシステム構築もご相談ください。 
　　　　柔軟且つスピードを持って対応させて頂きますので、お気軽にお問い合わせ下さい。
:その他： 
　　　　楽天コミュニケーションズ社販売代理店、各種IP電話機取扱い（Panasonic・SAXA・GrandStream・Yealink他）

===株式会社ギークフィード===
:住所：〒111-0056　東京都台東区小島2-20-7 扶桑御徒町ビル2F
:電話：03-3863-6754
:ウェブ：http://www.geekfeed.co.jp
:お問い合わせ：sales@geekfeed.co.jp
:担当範囲：Asteriskのカスタマイズ受託開発、導入コンサルティング、勉強会、セミナー、構築
:取扱製品：AudioCodesの一次代理店として、VoIPGateway、IP電話、SBC等を取り扱っております。
:イタリアXenialabの日本総代理店として、asteriskベースのオムニチャンネルコールセンターシステムxcallyのライセンス販売、SaaS提供を行っております。
:CounterPathのリセラーとして、ソフトフォンのBriaやプロビジョニングサーバーStrettoを取り扱っております。
:自社製品として、通話録音システムYouWireを開発、販売しております。
:取扱製品：IPPhone,VoIPGateway,SBCメーカーであるAudioCodesの一次代理店です。

===ディブソル株式会社===
:住所：〒144-0052　東京都大田区蒲田4-32-11
:ウェブ：https://www.divssol.com
:お問い合わせ：info@divssol.com
:業務範囲： 
　　・インバウンド、アウトバウンドのコールセンターシステム開発(CRM,プリディクティブ対応) 
　　・Asterisk,Freeswitch,Opensips,Kamailio等のカスタマイズ開発 
　　・WebRTCクライアント、iOS、Android VoIPアプリのOEM開発 
　　・Carrier GladeのAsterisk/Freeswitch/IMS構築支援 
　　・組込み向けAsterisk開発支援(Yocto Linux) 
　　・クラウド開発支援(AWS, Azure, OpenStack) 
　　・各社回線適合調査、IP電話コンサルティング
:開発実績：大手通信会社様、通販業者様等、大小問わず様々な実績がございます。お気軽にお問合せ下さい。

===株式会社Ringing===
:住所：〒231-0005 神奈川県横浜市中区本町三丁目24番地1 本町中央ビル 701B
:ウェブ：https://www.ringing.co.jp/
:電話：050-5526-4164
:お問い合わせ：ウェブの"お問い合わせフォーム"、またはお電話にてお問い合わせお願いします。
:業務範囲： 
　　・Asterisk,FreeSwitch等を利用したシステム開発・運用保守を承っております。 
　　・クラウドPBXの開発/運用、オートコールシステムの開発、FAXアプリの開発/運用、SIPトランク・ゲートウェイの開発/運用など実績があります。 
　　・ちょっとした改修作業、運用保守も低料金にて承っております。お気軽にお問い合わせください。 

==情報提供==
===旧クルーグ社扱い製品やサービスについて===
クルーグ社の事業継承はプロディライト社なので、プロディライト社へお問い合わせください。
:https://www.prodelight.co.jp/
:https://www.prodelight.co.jp/news/%E3%80%90%E4%BA%8B%E6%A5%AD%E8%AD%B2%E6%B8%A1%E5%A5%91%E7%B4%84%E3%81%AE%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B%E3%80%91%E6%A0%AA%E5%BC%8F%E4%BC%9A%E7%A4%BE%E3%82%AF%E3%83%AB%E3%83%BC%E3%82%B0/

==個人等==
===高橋隆雄===
:aka たかはし
:ウェブ：ここ
:メール：webmaster'at'voip-info'dot'jp
:担当製品：人寄せパンダ(Asterisk関連の執筆・講演等行います)

SIP-Fail2ban

2016-12-05T13:55:01Z

Hhiwada: /* Asteriskへパッチを当てる */

IAXでのFail2banは'''[[IAX-Fail2ban]]'''を参照してください。
==fail2ban==
ログファイルとiptablesを利用したファイアウォールの一種。Brute Forceアタックの対策に使いやすい。 
:http://www.fail2ban.org/
:http://sourceforge.net/projects/fail2ban/
==動作条件==
pythonとiptablesが必要。yum install python iptablesなどで入れておいて下さい。
==インストール==
まずSFからfail2banをダウンロードし、展開します。
tar jxvf fail2ban-0.8.4.tar.bz2
展開したディレクトリでインストールを実行します。
cd fail2ban-0.8.4
python ./setup.py install
スタートアップ・スクリプトをコピーしておきます(CentOSなどRedHat系の場合の例)。
cp files/redhat-initd /etc/init.d/fail2ban

==設定==
===Asteriskのログフォーマットを変更する===
Fail2banはそのままではAsteriskのログの日付を認識できないため、Asteriskのログフォーマットを変更します。 
/etc/asterisk/logger.confを編集し、日付のフォーマット変更を行います。 
[general]セクションにある
dateformat=%F %T
のコメントを外すか、もしこのエントリがなければ記述します。設定を変更したら、Asteriskを再起動するか、loggerモジュールのリロードを行って、変更を有効にします。これによりAsteriskのログの日付形式が以下のように変わりますので、確認してください。
[2010-12-30 09:25:25] NOTICE[17537] chan_sip.c:.....
===Asterisk用の定義ファイルを作る===
/etc/fail2ban/filter.d ディレクトリに asterisk.conf という名前で以下のようなファイルを作ります。ここで指定したメッセージがBAN基準として使われるメッセージとなります。 
 
Asterisk 1.8系の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.6とそれ以前の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>' - Wrong password
Registration from '.*' failed for '<HOST>' - No matching peer found
Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>' - Device does not match ACL
Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.8とそれ以前ではログのホスト部分にポート番号を含む、含まないの違いがあるためfailregexの記述を変える必要がありますので注意してください。この部分に合致するメッセージが、ログファイルに現れたならばBAN基準になりますので注意して記述します。これ意外にも、引っかけたいメッセージがある場合にはそれも記述するとよいでしょう。 

===BANのアクションを作成する===
ここではUDPの5060ポート、つまりSIPだけをBAN対象としたいためアクションをSIP用に作成します。 /etc/fail2ban/action.d で以下のようにしてアクションを作成します。 
まず
cp iptables-allports.conf iptables-sip.conf
を行って、全ポート用のアクションをコピーします。次に iptables-sip.conf を編集し、以下のようにBANとUNBANのエントリを修正します。
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -p udp --dport 5060 -j DROP

# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = iptables -D fail2ban-<name> -s <ip> -p udp --dport 5060 -j DROP
-p udp と --dport 5060 を actionban と actionunban に追記します。

===fail2banの設定ファイルを修正===
/etc/fail2ban にある jail.conf ファイルの最後に以下を追加します。
[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-sip[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.net]
logpath = /var/log/asterisk/messages
maxretry = 5
findtime = 600
bantime = 604800
*action
BAN処理のアクションを定義します。この例ではiptables-sipを実行します。その後、sendmail-whois で BANしたIPアドレスのwhois情報を dest= で指定された宛先に送ります。このとき使用されるメールのFrom:はfail2ban@exampleになりますので、適切なものに書き換えます。 
アクションの所で iptables-allports を指定するとSIPだけでなく、すべてのポートからの接続を蹴るように iptables に設定されます。『怪しい攻撃元』をブロックするという意味では、こちらのアクションの方がより安全と言えます。
*logpath
Asteriskのログファイルへのパスを記述します。
*maxretry
何回以上失敗したらBANするかの指定です。
*findtime
この時間内にmaxretryで指定した回数以上失敗するとBANします。上の例では600秒(10分)の間に、5回以上の失敗があった場合にはBANされます。
*bantime
ここで指定された期間がBAN期間になります。指定は秒数です。上の例では 60x60x24x7=604800、つまり1週間になります。

==fail2banを起動する==
/etc/init.d/fail2ban start
起動したら期待の動作をするかどうかを、よく確認してください。試しに故意に間違えたパスワードで5回以上ログインをしてみるなどです。 
起動に問題がなければ、fail2banが自動起動されるように登録しておけば良いでしょう。
chkconfig --add fail2ban
===起動の確認===
iptables -L -v で確認すると
61638 8222K fail2ban-ASTERISK all -- any any anywhere anywhere
や
Chain fail2ban-ASTERISK (1 references)
pkts bytes target prot opt in out source destination
61627 8216K RETURN all -- any any anywhere anywhere
のようなエントリがあるはずです。 
BANされるとメールが送られ
11 6424 DROP udp -- any any xxx.xxx.xxx.xx anywhere udp dpt:5060
のようなDROPのエントリが追加されているはずです。

==INVITEによるBrute force攻撃への対策==
REGISTERメッセージによる攻撃以外に、INVITEによるBrute force攻撃も確認されています。

この攻撃時に出力されるログメッセージは以下のようなものになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c

このログメッセージの攻撃元IPアドレスが、FROMヘッダに記載されているIPアドレスになっています。

このままでは、NAT配下のサーバーからの攻撃や、FROMヘッダが偽装された場合にfail2banで対応することができません。

そこで、Asteriskへパッチを当てて、実際の攻撃元IPアドレスを表示するように修正します。

===Asteriskへパッチを当てる===

次のようなパッチをAsteriskに適用します。

このパッチはAsterisk-1.4.40を対象にしていますが、1.6系、1.8系にも同様の修正で対応できます。

--- asterisk-1.4.40.orig/channels/chan_sip.c 2011-01-05 02:11:48.000000000 +0900
+++ asterisk-1.4.40/channels/chan_sip.c 2011-03-10 17:59:26.000000000 +0900
@@ -15456,7 +15456,7 @@
ast_log(LOG_NOTICE, "Sending fake auth rejection for user %s\n", get_header(req, "From"));
transmit_fake_auth_response(p, SIP_INVITE, req, XMIT_RELIABLE);
} else {
- ast_log(LOG_NOTICE, "Failed to authenticate user %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate user %s (%s:%d)\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr), ntohs(sin->sin_port));
transmit_response_reliable(p, "403 Forbidden", req);
}
p->invitestate = INV_COMPLETED;

こちらは Asterisk-1.8.23.0 用です。Asterisk-11.5.1 でもほぼ同じコードが使えます。

--- asterisk-1.8.23.0/channels/chan_sip.c.orig 2013-08-02 11:41:03.233638321 +0900
+++ asterisk-1.8.23.0/channels/chan_sip.c 2013-12-06 14:51:08.698990909 +0900
@@ -22673,7 +22673,7 @@
return 0;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return 0;
@@ -23334,7 +23334,7 @@
goto request_invite_cleanup;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response_reliable(p, "403 Forbidden", req);
p->invitestate = INV_COMPLETED;
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -25164,7 +25164,7 @@
p->lastinvite = seqno;
return 0;
} else if (auth_result < 0) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
ast_string_field_set(p, theirtag, NULL);
@@ -25384,7 +25384,7 @@
if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */
return 0;
if (res != AUTH_SUCCESSFUL) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed");

Asterisk 11.23.1用パッチです。

--- channels/chan_sip.c.orig 2016-09-09 01:28:35.000000000 +0900
+++ channels/chan_sip.c 2016-10-28 23:26:38.985774935 +0900
@@ -18751,7 +18751,7 @@ static void receive_message(struct sip_p
return;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return;
@@ -24963,7 +24963,7 @@ static int handle_request_options(struct
return 0;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return 0;
@@ -25798,7 +25798,7 @@ static int handle_request_invite(struct
goto request_invite_cleanup;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response_reliable(p, "403 Forbidden", req);
p->invitestate = INV_COMPLETED;
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -27788,7 +27788,7 @@ static int handle_request_publish(struct
p->lastinvite = seqno;
return 0;
} else if (auth_result < 0) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
ast_string_field_set(p, theirtag, NULL);
@@ -28003,7 +28003,7 @@ static int handle_request_subscribe(stru
if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */
return 0;
if (res != AUTH_SUCCESSFUL) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s) for SUBSCRIBE\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed");

パッチを当てて、Asteriskをコンパイルし直し、再起動します。

すると、先ほどの攻撃時のログは以下のように出力されるようになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c (123.45.67.89:5060)

ログの(　)内に攻撃元の実IPアドレスが表示されるようになり、これを元にfail2banで攻撃を検知することができます。

===fail2banへ設定を追加===

修正したログに合わせたフィルタ設定をfail2banに追加します。

/etc/fail2ban/filter.d/asterisk.conf の failregex の項目に以下を追加します。

NOTICE.* .*: Failed to authenticate user .* $<HOST>:.*$

フィルタ追加後、fail2banを再起動し設定完了です。

[[Category:セキュリティ]]

SIP-Fail2ban

2016-10-28T05:30:47Z

Hhiwada: /* Asteriskへパッチを当てる */

IAXでのFail2banは'''[[IAX-Fail2ban]]'''を参照してください。
==fail2ban==
ログファイルとiptablesを利用したファイアウォールの一種。Brute Forceアタックの対策に使いやすい。 
:http://www.fail2ban.org/
:http://sourceforge.net/projects/fail2ban/
==動作条件==
pythonとiptablesが必要。yum install python iptablesなどで入れておいて下さい。
==インストール==
まずSFからfail2banをダウンロードし、展開します。
tar jxvf fail2ban-0.8.4.tar.bz2
展開したディレクトリでインストールを実行します。
cd fail2ban-0.8.4
python ./setup.py install
スタートアップ・スクリプトをコピーしておきます(CentOSなどRedHat系の場合の例)。
cp files/redhat-initd /etc/init.d/fail2ban

==設定==
===Asteriskのログフォーマットを変更する===
Fail2banはそのままではAsteriskのログの日付を認識できないため、Asteriskのログフォーマットを変更します。 
/etc/asterisk/logger.confを編集し、日付のフォーマット変更を行います。 
[general]セクションにある
dateformat=%F %T
のコメントを外すか、もしこのエントリがなければ記述します。設定を変更したら、Asteriskを再起動するか、loggerモジュールのリロードを行って、変更を有効にします。これによりAsteriskのログの日付形式が以下のように変わりますので、確認してください。
[2010-12-30 09:25:25] NOTICE[17537] chan_sip.c:.....
===Asterisk用の定義ファイルを作る===
/etc/fail2ban/filter.d ディレクトリに asterisk.conf という名前で以下のようなファイルを作ります。ここで指定したメッセージがBAN基準として使われるメッセージとなります。 
 
Asterisk 1.8系の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.6とそれ以前の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>' - Wrong password
Registration from '.*' failed for '<HOST>' - No matching peer found
Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>' - Device does not match ACL
Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.8とそれ以前ではログのホスト部分にポート番号を含む、含まないの違いがあるためfailregexの記述を変える必要がありますので注意してください。この部分に合致するメッセージが、ログファイルに現れたならばBAN基準になりますので注意して記述します。これ意外にも、引っかけたいメッセージがある場合にはそれも記述するとよいでしょう。 

===BANのアクションを作成する===
ここではUDPの5060ポート、つまりSIPだけをBAN対象としたいためアクションをSIP用に作成します。 /etc/fail2ban/action.d で以下のようにしてアクションを作成します。 
まず
cp iptables-allports.conf iptables-sip.conf
を行って、全ポート用のアクションをコピーします。次に iptables-sip.conf を編集し、以下のようにBANとUNBANのエントリを修正します。
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -p udp --dport 5060 -j DROP

# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = iptables -D fail2ban-<name> -s <ip> -p udp --dport 5060 -j DROP
-p udp と --dport 5060 を actionban と actionunban に追記します。

===fail2banの設定ファイルを修正===
/etc/fail2ban にある jail.conf ファイルの最後に以下を追加します。
[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-sip[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.net]
logpath = /var/log/asterisk/messages
maxretry = 5
findtime = 600
bantime = 604800
*action
BAN処理のアクションを定義します。この例ではiptables-sipを実行します。その後、sendmail-whois で BANしたIPアドレスのwhois情報を dest= で指定された宛先に送ります。このとき使用されるメールのFrom:はfail2ban@exampleになりますので、適切なものに書き換えます。 
アクションの所で iptables-allports を指定するとSIPだけでなく、すべてのポートからの接続を蹴るように iptables に設定されます。『怪しい攻撃元』をブロックするという意味では、こちらのアクションの方がより安全と言えます。
*logpath
Asteriskのログファイルへのパスを記述します。
*maxretry
何回以上失敗したらBANするかの指定です。
*findtime
この時間内にmaxretryで指定した回数以上失敗するとBANします。上の例では600秒(10分)の間に、5回以上の失敗があった場合にはBANされます。
*bantime
ここで指定された期間がBAN期間になります。指定は秒数です。上の例では 60x60x24x7=604800、つまり1週間になります。

==fail2banを起動する==
/etc/init.d/fail2ban start
起動したら期待の動作をするかどうかを、よく確認してください。試しに故意に間違えたパスワードで5回以上ログインをしてみるなどです。 
起動に問題がなければ、fail2banが自動起動されるように登録しておけば良いでしょう。
chkconfig --add fail2ban
===起動の確認===
iptables -L -v で確認すると
61638 8222K fail2ban-ASTERISK all -- any any anywhere anywhere
や
Chain fail2ban-ASTERISK (1 references)
pkts bytes target prot opt in out source destination
61627 8216K RETURN all -- any any anywhere anywhere
のようなエントリがあるはずです。 
BANされるとメールが送られ
11 6424 DROP udp -- any any xxx.xxx.xxx.xx anywhere udp dpt:5060
のようなDROPのエントリが追加されているはずです。

==INVITEによるBrute force攻撃への対策==
REGISTERメッセージによる攻撃以外に、INVITEによるBrute force攻撃も確認されています。

この攻撃時に出力されるログメッセージは以下のようなものになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c

このログメッセージの攻撃元IPアドレスが、FROMヘッダに記載されているIPアドレスになっています。

このままでは、NAT配下のサーバーからの攻撃や、FROMヘッダが偽装された場合にfail2banで対応することができません。

そこで、Asteriskへパッチを当てて、実際の攻撃元IPアドレスを表示するように修正します。

===Asteriskへパッチを当てる===

次のようなパッチをAsteriskに適用します。

このパッチはAsterisk-1.4.40を対象にしていますが、1.6系、1.8系にも同様の修正で対応できます。

--- asterisk-1.4.40.orig/channels/chan_sip.c 2011-01-05 02:11:48.000000000 +0900
+++ asterisk-1.4.40/channels/chan_sip.c 2011-03-10 17:59:26.000000000 +0900
@@ -15456,7 +15456,7 @@
ast_log(LOG_NOTICE, "Sending fake auth rejection for user %s\n", get_header(req, "From"));
transmit_fake_auth_response(p, SIP_INVITE, req, XMIT_RELIABLE);
} else {
- ast_log(LOG_NOTICE, "Failed to authenticate user %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate user %s (%s:%d)\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr), ntohs(sin->sin_port));
transmit_response_reliable(p, "403 Forbidden", req);
}
p->invitestate = INV_COMPLETED;

こちらは Asterisk-1.8.23.0 用です。Asterisk-11.5.1 でもほぼ同じコードが使えます。

--- asterisk-1.8.23.0/channels/chan_sip.c.orig 2013-08-02 11:41:03.233638321 +0900
+++ asterisk-1.8.23.0/channels/chan_sip.c 2013-12-06 14:51:08.698990909 +0900
@@ -22673,7 +22673,7 @@
return 0;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return 0;
@@ -23334,7 +23334,7 @@
goto request_invite_cleanup;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response_reliable(p, "403 Forbidden", req);
p->invitestate = INV_COMPLETED;
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -25164,7 +25164,7 @@
p->lastinvite = seqno;
return 0;
} else if (auth_result < 0) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
ast_string_field_set(p, theirtag, NULL);
@@ -25384,7 +25384,7 @@
if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */
return 0;
if (res != AUTH_SUCCESSFUL) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed");

Asterisk 11.23.1用パッチです。

--- channels/chan_sip.c.orig 2016-09-09 01:28:35.000000000 +0900
+++ channels/chan_sip.c 2016-10-28 23:26:38.985774935 +0900
@@ -18751,7 +18751,7 @@ static void receive_message(struct sip_p
return;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stri ngify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return;
@@ -24963,7 +24963,7 @@ static int handle_request_options(struct
return 0;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stri ngify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return 0;
@@ -25798,7 +25798,7 @@ static int handle_request_invite(struct
goto request_invite_cleanup;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stri ngify(addr));
transmit_response_reliable(p, "403 Forbidden", req);
p->invitestate = INV_COMPLETED;
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -27788,7 +27788,7 @@ static int handle_request_publish(struct
p->lastinvite = seqno;
return 0;
} else if (auth_result < 0) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(ad dr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
ast_string_field_set(p, theirtag, NULL);
@@ -28003,7 +28003,7 @@ static int handle_request_subscribe(stru
if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */
return 0;
if (res != AUTH_SUCCESSFUL) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s) for SUBSCRIBE\n", sip_get_header(req, "From"), ast _sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed");

パッチを当てて、Asteriskをコンパイルし直し、再起動します。

すると、先ほどの攻撃時のログは以下のように出力されるようになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c (123.45.67.89:5060)

ログの(　)内に攻撃元の実IPアドレスが表示されるようになり、これを元にfail2banで攻撃を検知することができます。

===fail2banへ設定を追加===

修正したログに合わせたフィルタ設定をfail2banに追加します。

/etc/fail2ban/filter.d/asterisk.conf の failregex の項目に以下を追加します。

NOTICE.* .*: Failed to authenticate user .* $<HOST>:.*$

フィルタ追加後、fail2banを再起動し設定完了です。

[[Category:セキュリティ]]

SIP-Fail2ban

2016-10-23T16:52:22Z

Hhiwada: /* Asteriskへパッチを当てる */

IAXでのFail2banは'''[[IAX-Fail2ban]]'''を参照してください。
==fail2ban==
ログファイルとiptablesを利用したファイアウォールの一種。Brute Forceアタックの対策に使いやすい。 
:http://www.fail2ban.org/
:http://sourceforge.net/projects/fail2ban/
==動作条件==
pythonとiptablesが必要。yum install python iptablesなどで入れておいて下さい。
==インストール==
まずSFからfail2banをダウンロードし、展開します。
tar jxvf fail2ban-0.8.4.tar.bz2
展開したディレクトリでインストールを実行します。
cd fail2ban-0.8.4
python ./setup.py install
スタートアップ・スクリプトをコピーしておきます(CentOSなどRedHat系の場合の例)。
cp files/redhat-initd /etc/init.d/fail2ban

==設定==
===Asteriskのログフォーマットを変更する===
Fail2banはそのままではAsteriskのログの日付を認識できないため、Asteriskのログフォーマットを変更します。 
/etc/asterisk/logger.confを編集し、日付のフォーマット変更を行います。 
[general]セクションにある
dateformat=%F %T
のコメントを外すか、もしこのエントリがなければ記述します。設定を変更したら、Asteriskを再起動するか、loggerモジュールのリロードを行って、変更を有効にします。これによりAsteriskのログの日付形式が以下のように変わりますので、確認してください。
[2010-12-30 09:25:25] NOTICE[17537] chan_sip.c:.....
===Asterisk用の定義ファイルを作る===
/etc/fail2ban/filter.d ディレクトリに asterisk.conf という名前で以下のようなファイルを作ります。ここで指定したメッセージがBAN基準として使われるメッセージとなります。 
 
Asterisk 1.8系の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.6とそれ以前の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>' - Wrong password
Registration from '.*' failed for '<HOST>' - No matching peer found
Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>' - Device does not match ACL
Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.8とそれ以前ではログのホスト部分にポート番号を含む、含まないの違いがあるためfailregexの記述を変える必要がありますので注意してください。この部分に合致するメッセージが、ログファイルに現れたならばBAN基準になりますので注意して記述します。これ意外にも、引っかけたいメッセージがある場合にはそれも記述するとよいでしょう。 

===BANのアクションを作成する===
ここではUDPの5060ポート、つまりSIPだけをBAN対象としたいためアクションをSIP用に作成します。 /etc/fail2ban/action.d で以下のようにしてアクションを作成します。 
まず
cp iptables-allports.conf iptables-sip.conf
を行って、全ポート用のアクションをコピーします。次に iptables-sip.conf を編集し、以下のようにBANとUNBANのエントリを修正します。
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -p udp --dport 5060 -j DROP

# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = iptables -D fail2ban-<name> -s <ip> -p udp --dport 5060 -j DROP
-p udp と --dport 5060 を actionban と actionunban に追記します。

===fail2banの設定ファイルを修正===
/etc/fail2ban にある jail.conf ファイルの最後に以下を追加します。
[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-sip[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.net]
logpath = /var/log/asterisk/messages
maxretry = 5
findtime = 600
bantime = 604800
*action
BAN処理のアクションを定義します。この例ではiptables-sipを実行します。その後、sendmail-whois で BANしたIPアドレスのwhois情報を dest= で指定された宛先に送ります。このとき使用されるメールのFrom:はfail2ban@exampleになりますので、適切なものに書き換えます。 
アクションの所で iptables-allports を指定するとSIPだけでなく、すべてのポートからの接続を蹴るように iptables に設定されます。『怪しい攻撃元』をブロックするという意味では、こちらのアクションの方がより安全と言えます。
*logpath
Asteriskのログファイルへのパスを記述します。
*maxretry
何回以上失敗したらBANするかの指定です。
*findtime
この時間内にmaxretryで指定した回数以上失敗するとBANします。上の例では600秒(10分)の間に、5回以上の失敗があった場合にはBANされます。
*bantime
ここで指定された期間がBAN期間になります。指定は秒数です。上の例では 60x60x24x7=604800、つまり1週間になります。

==fail2banを起動する==
/etc/init.d/fail2ban start
起動したら期待の動作をするかどうかを、よく確認してください。試しに故意に間違えたパスワードで5回以上ログインをしてみるなどです。 
起動に問題がなければ、fail2banが自動起動されるように登録しておけば良いでしょう。
chkconfig --add fail2ban
===起動の確認===
iptables -L -v で確認すると
61638 8222K fail2ban-ASTERISK all -- any any anywhere anywhere
や
Chain fail2ban-ASTERISK (1 references)
pkts bytes target prot opt in out source destination
61627 8216K RETURN all -- any any anywhere anywhere
のようなエントリがあるはずです。 
BANされるとメールが送られ
11 6424 DROP udp -- any any xxx.xxx.xxx.xx anywhere udp dpt:5060
のようなDROPのエントリが追加されているはずです。

==INVITEによるBrute force攻撃への対策==
REGISTERメッセージによる攻撃以外に、INVITEによるBrute force攻撃も確認されています。

この攻撃時に出力されるログメッセージは以下のようなものになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c

このログメッセージの攻撃元IPアドレスが、FROMヘッダに記載されているIPアドレスになっています。

このままでは、NAT配下のサーバーからの攻撃や、FROMヘッダが偽装された場合にfail2banで対応することができません。

そこで、Asteriskへパッチを当てて、実際の攻撃元IPアドレスを表示するように修正します。

===Asteriskへパッチを当てる===

次のようなパッチをAsteriskに適用します。

このパッチはAsterisk-1.4.40を対象にしていますが、1.6系、1.8系にも同様の修正で対応できます。

--- asterisk-1.4.40.orig/channels/chan_sip.c 2011-01-05 02:11:48.000000000 +0900
+++ asterisk-1.4.40/channels/chan_sip.c 2011-03-10 17:59:26.000000000 +0900
@@ -15456,7 +15456,7 @@
ast_log(LOG_NOTICE, "Sending fake auth rejection for user %s\n", get_header(req, "From"));
transmit_fake_auth_response(p, SIP_INVITE, req, XMIT_RELIABLE);
} else {
- ast_log(LOG_NOTICE, "Failed to authenticate user %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate user %s (%s:%d)\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr), ntohs(sin->sin_port));
transmit_response_reliable(p, "403 Forbidden", req);
}
p->invitestate = INV_COMPLETED;

こちらは Asterisk-1.8.23.0 用です。Asterisk-11.5.1 でもほぼ同じコードが使えます。

--- asterisk-1.8.23.0/channels/chan_sip.c.orig 2013-08-02 11:41:03.233638321 +0900
+++ asterisk-1.8.23.0/channels/chan_sip.c 2013-12-06 14:51:08.698990909 +0900
@@ -22673,7 +22673,7 @@
return 0;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return 0;
@@ -23334,7 +23334,7 @@
goto request_invite_cleanup;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response_reliable(p, "403 Forbidden", req);
p->invitestate = INV_COMPLETED;
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -25164,7 +25164,7 @@
p->lastinvite = seqno;
return 0;
} else if (auth_result < 0) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
ast_string_field_set(p, theirtag, NULL);
@@ -25384,7 +25384,7 @@
if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */
return 0;
if (res != AUTH_SUCCESSFUL) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed");

Asterisk 11.23.1用パッチです。

--- channels/chan_sip.c.orig 2016-09-09 01:28:35.000000000 +0900
+++ channels/chan_sip.c 2016-10-24 01:41:58.529644905 +0900
@@ -24963,7 +24963,7 @@ static int handle_request_options(struct
return 0;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return 0;
@@ -25798,7 +25798,7 @@ static int handle_request_invite(struct
goto request_invite_cleanup;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response_reliable(p, "403 Forbidden", req);
p->invitestate = INV_COMPLETED;
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -27788,7 +27788,7 @@ static int handle_request_publish(struct
p->lastinvite = seqno;
return 0;
} else if (auth_result < 0) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
ast_string_field_set(p, theirtag, NULL);
@@ -28003,7 +28003,7 @@ static int handle_request_subscribe(stru
if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */
return 0;
if (res != AUTH_SUCCESSFUL) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s for SUBSCRIBE\n", sip_get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s) for SUBSCRIBE\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed");

パッチを当てて、Asteriskをコンパイルし直し、再起動します。

すると、先ほどの攻撃時のログは以下のように出力されるようになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c (123.45.67.89:5060)

ログの(　)内に攻撃元の実IPアドレスが表示されるようになり、これを元にfail2banで攻撃を検知することができます。

===fail2banへ設定を追加===

修正したログに合わせたフィルタ設定をfail2banに追加します。

/etc/fail2ban/filter.d/asterisk.conf の failregex の項目に以下を追加します。

NOTICE.* .*: Failed to authenticate user .* $<HOST>:.*$

フィルタ追加後、fail2banを再起動し設定完了です。

[[Category:セキュリティ]]

ICOM VE-IG1

2015-12-24T04:42:37Z

Hhiwada:

[[画像:VE-IG1-1.jpg]] 
アイコムのISDNゲートウェイ 
価格：オープンプライス、愛三電機で29,400円 
*BRIシングルポート
*小さい!
*DSU内蔵(U点あり)
*U点の極性切り替え可能
*DSU切り離し可能
*S/T点もついている
*終端抵抗のON/OFFも可能
*もちろんJATE認定品
例によってアイコムはAsterisk対応については関与していませんので、メーカへの問い合わせはご遠慮ください。あくまでも当Wikiで実験した結果です。
アイコム製品としての位置付けは、アイコムのVoIP機器の拡張用です。
==接続部分および裏側==
[[画像:VE-IG1-2.jpg]]
==設定方法==
注意：この設定方法についてメーカに問い合わせないでください！ 
まず最初の注意はデフォルトのIPアドレスが 192.168.0.1 固定の点です(DHCPクライアント機能はありません)。このため既存のネットワークが192.168.0.0/24の場合にはLANに繋ぎ込まないように注意してください。パソコンを直接接続するなどして、IPアドレスを変更してからLANに接続するのが良いでしょう。 
IPアドレスがわからなくなった場合にはMODEスイッチを押しながら電源を投入するとPOWERランプが点滅して起動します。この状態ではIPアドレスは192.168.0.1に戻っています。 
設定は他のアイコム製品同様にWebブラウザで行います。
==VE-IG1側の設定==
[[画像:IG1-001.jpg]] 
ISDN回線発信番号には4桁までの番号を設定します。ここで設定した番号+電話番号が指定されるとISDN回線に対して発呼されます。上の例で03-1234-5678にダイアルしたい場合には、90312345678をVE-IG1に投げるとダイアルされます。 
[[画像:IG1-002.jpg]] 
ダイアルインの設定のようなのですが、念のため自局番号を設定してみました。着信内線番号はAsteriskがRegisterする番号を指定してあります。 
[[画像:IG1-003.jpg]] 
『主装置』と言われるとわかりにくいのですが、これがAsterisk向けの設定になります。 
内線ドメインはとりあえず、VE-IG1のIPアドレスそのままを指定し、内線番号はAsteriskがRegisterする番号を指定します。上の着信内線番号と同じになります。 

==Asterisk側の設定==
基本的にはSIPサーバに対してレジストするのと同じです。 
sip.confの例
register => 1234:pass@VE-IG1-1/着信exten

[VE-IG1-1]
type=friend
username=1234
secret=passs
context=default
canreinvite=no
host=192.168.0.1
fromdomain=192.168.0.1
fromuser=1234
insecure=very
disallow=all
allow=ulaw
extensions.confの例(0が付いていると発信)
exten => _0.,1,Set(CALLERID(num)=1234)
exten => _0.,n,Set(CALLERID(name)=1234)
exten => _0.,n,Dial(SIP/9${EXTEN}@VE-IG1-1)
exten => _0.,n,Congestion
ISDN発信番号に'9'を付加しているので頭に9をつけてダイアルします。 
なおregisterが成功していないと発信できません。circuit busyを返して発信を拒否するようです。

==無音時の切断回避==
VE-IG1は、無音(RTPが流れない)状態がつづくと自動的に回線切断を行います。
Voicemailへの録音時でも切れるので、その場合はasterisk.confに下記の設定を行っておきましょう。

asterisk.conf

transmit_silence = yes
transmit_silence_during_record = yes

購入情報

2015-01-28T02:45:53Z

Hhiwada:

[[Category:IP電話機]]
IP電話関連機器の購入情報
==一般的なもの==
ヤマハ製品など一般に流通しているものは、量販店や[http://www.amazon.co.jp/b?%5Fencoding=UTF8&node=128187011&tag=takahashitaka-22&linkCode=ur2&camp=247&creative=1211 Amazon]等で購入が可能です。 
アイコム製品は下記の愛三電機やアイコム製品の取り扱い店(主にアマチュア無線機等を扱っている店)、ヨドバシカメラ(2008/01/13、新宿本店にて確認)で取り寄せが可能です。
==アイコップテクノロジー==
[[eBox-3300]](Microclient JR DX)などDM&P製品 
http://www.icop.co.jp/

==アイコム情報機器==
アイコム製品 
http://www.icom-jk.co.jp/ 

==愛三電機==
各種IP電話関連機器 
http://www.aisan.co.jp/ 
http://www.aisan.co.jp/products/index-products-main.html 
==アジルネットワークス Agile Networks==
IP電話機 Cisco,Snom,Polycom,Grandstream,Aastra,Saxa 
http://www.agile.ne.jp/ 
http://www.agile.ne.jp/callcenter/product/ 

==Office Ken, Inc.==
Grandstream 国内代理店 
http://www.officeken.co.jp/ 

==株式会社クルーグ==
PBX:FoNEX、trixboxPro、FreePBX、Asterisk
電話機:Polycom、パナソニック(Panasonic)、ナカヨ(NAKAYO)、Yealink、Aastra(Mitel)、CISCO、Digium、Grandstream、サクサ(SAXA)、SNOM、自社開発コールセンター向け専用IP電話機A31P 
音声ボード:Sangoma、Digium、OpenVOX 
サーバー:Schmooze Com(FreePBX開発元)、オンプレミス型、自社データセンター型 
フェイルオーバー:Digium、OpenVOX 

http://www.qloog.com/ 
 

==コミュニケーションビジネスアベニュー==
Trixbox Pro 販売/サポート、Aastra社電話機販売 
http://www.cba-japan.com/trixbox/ 
http://cba.shop-pro.jp/ 
==(株)ソフツー==
Fanvil製電話機、ヘッドセット等 
http://www.softsu.com/ 
オンラインショップ 
https://www.ipkiki.com/ 
http://www.amazon.co.jp/gp/node/index.html?ie=UTF8&marketplaceID=A1VC38T7YXB528&me=A1UGMEO3KC2JAR&merchant=A1UGMEO3KC2JAR

==巧(旧社名ASP,Astertel)==
IP電話機,Asteriskサーバなど 
http://www.takumi-kk.co.jp/ 

==TiViフォン==
携帯同士、及び携帯／PC間をIP電話にするソフトウェア 
http://www.tivi.com 

==デンフォン株式会社==
Digium製品,snom, Polycom, Cisco, Linksys, Grandstream製品など各種IP電話機器 
http://www.denphone.com/telephony-solutions-j 
https://www.denphone.com/webshop/catalog/index.php?language=ja 

==モバイルテクニカ==
AsteriskサーバxCube,WiFi電話機MobbyTalk235など 
http://www.mobiletechnika.jp/ 

==ヤマモトツールワークス==
PC Engines ALIX 
http://www.ytw.co.jp/ 
==ナクト==
Grandstream Networks,Inc. IP電話/ATA/VoIPゲートウェイ 
http://naturalaction.jp/ 
http://grandstream.jp/ IPマルチメディア電話《GXV3140》先行予約販売 
※アマゾンでも販売しています。

==コアコンピュタンス==
自社製IP-PBX. TLAMP, Grandstream networks（米国）日本正規代理店 
Grandstream networks社のIP電話機、アナログIPゲートウェイ、ATA等 
WiFi Phone, Network Streage, PoE Switch 
http://www.corecomputance.jp/ 

==CC119==
コールセンター向けソリューションの通販サイト 
Grandstream、YealinkなどAsterisk対応IP電話機 
http://www.cc119.biz/ 

==個人で輸入する場合==
Telephony DepotがeBayで販売しています。日本向けにも送ってくれます。 
http://stores.shop.ebay.com/Telephony-Depot 
Polycom,Aastra,Grandstream,Linksysなど各種扱いあり。

Asterisk

2013-12-10T06:42:04Z

Hhiwada: /* セキュリティ */

[[Category:Asterisk]]
[[Category:VoIP]]
==Asterisk: An Open Source PBX==
AsteriskはオープンソースのPBXでDigiumのMark Spencerによって始められました。(主に)Linuxプラットフォーム上で動作します。 
現在のバージョンは1.8系です。1.4.x、1.2系のユーザもまだ多いのですが、いずれも終息バージョンなので注意してください。 
日本でAsteriskが広く知られるようになったのは2005年頃からです。OSSとしては比較的、若いソフトウェアですが様々な可能性を秘めた優れたソフトウェアのひとつです。 
===[[導入事例]]===
[[導入事例]]のページにサマリーをまとめてあります。
==バージョン名==
Asteriskのバージョン名は1.8までは1.xの形式をとっていましたが、10以降は10,11,12となります。また、今後のバージョンにおいて『奇数番号』(11,13...)は長期サポート(LTS)、『偶数番号』は標準サポート(Standard)となります。
==Asteriskの派生ディストリビューション==
Asteriskから派生したディストリビューションも各種存在します。
*[[Asterisk Now]]
:Digium純正の派生ディストリビューション。Linuxを含みWebブラウザによる管理機能を搭載する。Ver1.5からその構成が大きく変わり、CentOS+FreePBXベースとなった。
*[[AstLinux]]
:コンパクトなディストリビューション、CFやUSBメモリからも起動できる。
*[[trixbox]]
:AsteriskとCentOSにFreePBX+αのGUIをセットにしたディストリビューション。無償のコミュニティエディションであるtrixboxCEの他、有償のtrixboxProシリーズがある。以前は [[Asterisk@Home]] と呼ばれていました。
*[[CosmoPBX]]
:KnoppixベースのLive CD
*[[Askozia]]
:FreeBSDベースの組み込み、並びにx86向けディストリビューション。公式版に日本語も含まれている。ドイツ製の為か、非常にコンパクト且つシンプルに設計されており、CFでも動作可能。次期リリースはLinux版も含まれる予定。
*[[Asterisk Bootable CDROM]]

*[[PBX in a Flash]]
:CentOS+FreePBXをベースに、とっても楽しい機能満載の日々Trick&Tips満載の、病み付きになりそうなディストリビューション。
*[[Elastix]]
:LinuxベースのAsterisk+FreePBX+Hylafax他、SugarCRMやA2Billなど、簡単をコンセプトと言ってる割には盛りだくさんなオールインワンディストリビューション。他にはコールセンター向けエディションもある、ラテンの香りのするプロジェクト。
*[[vicidialNow]]
:CentOSベースで、コールセンター向けを想定して作られているオールインワンディストリビューション。Asterisk+vicidial+vTiger(SugarCRMの派生)+MySQLを中心に構成されている。vTigerの開発元でも有る。
*[[http://www.mgamble.ca/oss/iphone_asterisk/ iPhone Asterisk]]
:iPhone上で、Asteriskを動かすという実用性？のプロジェクト。ベースはAsterisk1.4.13のまま開発が止まっている模様。ネタとしては面白い。

===特別枠(番外編)===
*[[FreePBX]]
:様々なところに登場しているFreePBXとは？元々Asterisk用に作られた、GUI及び拡張の為のPlug-inの開発プロジェクト。Asteriskは含まれていない。 
:今では本家AsteriskNOWを始め、trixboxのGUIを司っているだけあり、目が離せない重要なプロジェクト。 
:しかし最近、インストールCDとして配布されているFreePBXのオールインワンパッケージのベースは、FreeSwitchに変更されてしまい、Asteriskベースではなくなった。 

==Asteriskの入手とインストール==
Asteriskは http://www.asterisk.org から入手することができます。ソースの配布はftp/httpダウンロードの他、Subversionでも行われています。Subversionでの入手方法は[[Asterisk Subversion]]のページを参照してください。 
 
Asteriskのインストールにあたっては以下のパッケージのインストールも推奨されます。 
*[[Zaptel]] 
:Zaptelを使用しないでもインストールは可能ですがMeetMeやIAXトランキングなど一部の機能が動作しません。 
*[[DAHDI]] 
:Asterisk 1.4.20以降およびAsterisk 1.6からはZaptelにかわり[[DAHDI]]が使用されます。 
*libpri 
:PRIを使用しなければ必要ありません。 
*[[Asterisk-addons]] 
:ADD-ONの機能(CDRをMySQLで管理するなど)を使用しない場合には必要ありません。 
*[[Asterisk-GUI]] 
:従来、AsteriskNOWに搭載されていたもの。個別配布になった。 
===はじめてのインストール===
*Asteriskのインストール
新たにAsteriskをインストールしたい場合には、各バージョンの項目を参照してください。
:旧版
::[[簡易インストールマニュアル]]

*OS/ディストリ依存情報 
:[[Asteriskインストールメモ]] 
*よくわからない場合は[[謎の補助説明ページ]]もどうぞ(このページを見ても疑問が氷解するとは限りませんが)
:[[Asterisk サンプル設定ファイル]]を使ってみてください。 
:[[extension道場]]も参考になります。 

===Asterisk 1.6===
'''新規に使用する場合Asterisk 1.6は推奨されません。1.8以降のバージョンをお使い下さい。'''
:[[Asterisk 1.6]]

===Asterisk 1.8===
:[[Asterisk 1.8]] (EOLは2015年)

===Asterisk 11===
:[[Asterisk 11]] (EOLは2017年)

===DAHDIへの移行===
:[[DAHDIインストール]]
===Asterisk+DB===
'''注意:今後の方向性としてMySQLの直接サポートはなくなるようです。ODBCを使用して下さい。'''
:[[Asterisk+MySQL]]
:[[Asterisk+PostgreSQL]]
:[[Asterisk CDR SQLite]]
:[[Asterisk 11 ODBC]]

===使用する上でのヒント===
*[[Asterisk Tips]]
===注意点などの追加情報===
*[[Asterisk 追加情報]]
===セキュリティ===
*[[利用者:MR G]]の[[パケットフィルタリング]]
*'''[[Asterisk SIP セキュリティ]]'''
*'''[[SIP-Fail2ban]]'''

===参考になるページ===
MR Gさんのページ [[利用者:MR G]] 
[[Asterisk NAT]] 
kei_ef_2000(a.k.a ふかうみ)さんの「Asterisk SugarLookup」解説ページ[[利用者:kei ef 2000]] 
===参考になるかどうかよくわからないページ===
[[バカstarisk]] 
[[あすりん(仮)]]

==アンインストール==
[[アンインストール情報]]のページへ

==Asteriskの動作する環境==
IA系のマシンでLinuxをOSとして使用します。多くのLinuxディストリビューションで動作しています。ただしLinux 2.4カーネルを使用する場合には、ZatelがUSB-UHCIを必要とするため注意が必要です。Linux 2.6カーネル系では特に大きな問題はありません。
===OS===
[[Asterisk動作確認済みOS]]
===関連情報===
[[Asterisk Timer]] 
[[Zaptel udev]] 
[[Asterisk MacOSXでの動作]] 
[[Asterisk FreeBSDでの動作]] 

===特殊なプラットフォーム===
*小型アプライアンス類
:コンパクトなAsteriskマシンが欲しい方は[[アプライアンス]]ページを参照 
*OpenWRT 
:ルータ用代替ファームウェア。Asteriskのインストールも可能。 

==Asteriskと回線や電話機等の接続==
AsteriskはSIPやH.323といったIPベースの接続の他、アナログやISDNなど様々な回線に対応します。
===IP===
*[[IP電話機]]
*[[ITSP接続]]
*[[ENUM]]
===アナログ===
*[[アナログ回線の接続]]
*[[アナログ電話機の接続]]
===ISDN===
*[[ISDN接続]]
===ひかり電話===
*[[ひかり電話対応]]
===回線交換機（アナログ式PBX）===
*[[OD接続(E&M)]]
*[[FXS接続]]
*[[FXO接続]]

=== 携帯電話 ===

*[[Bluetooth接続(chan_mobile)]]

===Skype===
*[[Skype for Asterisk]]
:Digiumのプロダクト
===FAX===
*[[Fax for Asterisk]]
:Digiumのプロダクト

==Asteriskの管理==
*コマンドライン
:[[Asterisk_CLI]]
*[[Asterisk Manager Interface]]
:Asterisk管理インタフェース
*GUI
:Asteriskは基本的にはGUIを持ちません。Asterisk NOWはブラウザによる管理インタフェースを持っています。 
:[[Asterisk-GUI]](純正) 
:[[Asterisk GUI]] 
:ADM 

==IP電話関連機器はどこで買えますか？==
日本国内での入手性も序々に良くなってきました。 
[[購入情報]] のページを参照してください。 

==日本国内対応==
Asteriskを日本国内に対応させる情報は下記を参照してください。 
===ローカライズ===
*[[Asterisk パッチ]]
*[[Asterisk 日本語音声]]
*[[FreePBX系(trixboxCE/AsteriskNOW1.5他) 日本語メニュー]]

===接続および使い方===
*[[ひかり電話対応]]
*[[ラインキー問題]]

==書籍==
===日本語===
*[http://www.amazon.co.jp/exec/obidos/ASIN/4798011290/takahashitaka-22/ref=nosim AsteriskでつくるIP電話システム』]([[たかはし]]の著書)
:1.0ベースのため1.2系は当Wikiでフォローしています。 
:VoIPの基本からAsteriskのインストール/稼動までの入門向きです。 
*[http://www.amazon.co.jp/exec/obidos/ASIN/4798016322/takahashitaka-22/ref=nosim 『Asterisk徹底活用ガイド』]([[たかはし]]の著書)
:Asterisk 1.2/1.4対応になっています。各種設定のリファレンスおよび設定事例など
:Asteriskに特化した内容となっています。
*[http://www.amazon.co.jp/exec/obidos/ASIN/4798017795/takahashitaka-22/ref=nosim 『AsteriskNOWではじめるIP電話』]([[たかはし]]の著書)
:AsteriskNOWによるAsteriskの入門書です。
*[http://www.amazon.co.jp/exec/obidos/ASIN/4873112893/takahashitaka-22/ref=nosim Asterisk-テレフォニーの未来-]
:オライリーの翻訳版。Asterisk 1.2対応も若干入っているようです。http://www.oreilly.co.jp/books/4873112893/ 
*[http://www.amazon.co.jp/exec/obidos/ASIN/4777512789/takahashitaka-22/ref=nosim Trixbox実践ガイドブック―オープンソースの「PBXソフト」で「IPビジネスフォン」を作る]
*[http://www.amazon.co.jp/exec/obidos/ASIN/4839922810/takahashitaka-22/ref=nosim AsteriskによるIP-PBXシステム構築ガイド] 
:1.2ベースの本のようです。1.2のソースCD付。 
*[http://www.amazon.co.jp/exec/obidos/ASIN/4274066835/takahashitaka-22/ref=nosim Asterisk運用・開発ガイド] 
:APIなど開発/運用者向けの詳細な記載あり、上級者向け。 

===洋書===
*[http://www.amazon.co.jp/Asterisk-Telephony-Jim-Van-Meggelen/dp/0596009623/takahashitaka-22/ref=nosim Asterisk : The Future of Telephony] 
:こちらも1.0ベースの本。 
:Asterisk : The Future of Telephony (Asterisk Documentation Project) 
:The Future of TelephonyはCreative Commons licenseの元、オンライン(PDF文書)で公開されています。 
*[http://www.amazon.co.jp/Asterisk-Telephony-Jim-Van-Meggelen/dp/0596510489/takahashitaka-22/ref=nosim Asterisk : The Future of Telephony (2nd Edition)] 
:2ndエディションで1.4対応だそうです。
*[http://www.amazon.co.jp/Asterisk-Telephony-Jim-Van-Meggelen/dp/059652692X/takahashitaka-22/ref=nosim Asterisk Cookbook (Cookbook)] 
:発売日：2008/12/30何度か発売が伸びています。日本語版は出るのかは不明です。[http://www.asteriskcookbook.com/wiki/index.php/Main_Page Asterisk Cookbook Wiki]などあるようです。

==問い合わせ先など==
*[[Asteriskコンサルタント]]
*セミナー/イベントなど
:[[イベント情報]]のページで告知しています。

==外部リンク==
Asteriskの日本国内情報は[[外部リンク]]ページを参照してください。
:Digium http://www.digium.com 
:Asterisk http://www.asterisk.org 
:Asterisk Now! http://www.asterisknow.org

SIP-Fail2ban

2013-12-10T06:37:20Z

Hhiwada: /* Asteriskへパッチを当てる */

IAXでのFail2banは'''[[IAX-Fail2ban]]'''を参照してください。
==fail2ban==
ログファイルとiptablesを利用したファイアウォールの一種。Brute Forceアタックの対策に使いやすい。 
:http://www.fail2ban.org/
:http://sourceforge.net/projects/fail2ban/
==動作条件==
pythonとiptablesが必要。yum install python iptablesなどで入れておいて下さい。
==インストール==
まずSFからfail2banをダウンロードし、展開します。
tar jxvf fail2ban-0.8.4.tar.bz2
展開したディレクトリでインストールを実行します。
cd fail2ban-0.8.4
python ./setup.py install
スタートアップ・スクリプトをコピーしておきます(CentOSなどRedHat系の場合の例)。
cp files/redhat-initd /etc/init.d/fail2ban

==設定==
===Asteriskのログフォーマットを変更する===
Fail2banはそのままではAsteriskのログの日付を認識できないため、Asteriskのログフォーマットを変更します。 
/etc/asterisk/logger.confを編集し、日付のフォーマット変更を行います。 
[general]セクションにある
dateformat=%F %T
のコメントを外すか、もしこのエントリがなければ記述します。設定を変更したら、Asteriskを再起動するか、loggerモジュールのリロードを行って、変更を有効にします。これによりAsteriskのログの日付形式が以下のように変わりますので、確認してください。
[2010-12-30 09:25:25] NOTICE[17537] chan_sip.c:.....
===Asterisk用の定義ファイルを作る===
/etc/fail2ban/filter.d ディレクトリに asterisk.conf という名前で以下のようなファイルを作ります。ここで指定したメッセージがBAN基準として使われるメッセージとなります。 
 
Asterisk 1.8系の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.6とそれ以前の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>' - Wrong password
Registration from '.*' failed for '<HOST>' - No matching peer found
Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>' - Device does not match ACL
Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.8とそれ以前ではログのホスト部分にポート番号を含む、含まないの違いがあるためfailregexの記述を変える必要がありますので注意してください。この部分に合致するメッセージが、ログファイルに現れたならばBAN基準になりますので注意して記述します。これ意外にも、引っかけたいメッセージがある場合にはそれも記述するとよいでしょう。 

===BANのアクションを作成する===
ここではUDPの5060ポート、つまりSIPだけをBAN対象としたいためアクションをSIP用に作成します。 /etc/fail2ban/action.d で以下のようにしてアクションを作成します。 
まず
cp iptables-allports.conf iptables-sip.conf
を行って、全ポート用のアクションをコピーします。次に iptables-sip.conf を編集し、以下のようにBANとUNBANのエントリを修正します。
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -p udp --dport 5060 -j DROP

# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = iptables -D fail2ban-<name> -s <ip> -p udp --dport 5060 -j DROP
-p udp と --dport 5073 を actionban と actionunban に追記します。

===fail2banの設定ファイルを修正===
/etc/fail2ban にある jail.conf ファイルの最後に以下を追加します。
[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-sip[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.net]
logpath = /var/log/asterisk/messages
maxretry = 5
findtime = 600
bantime = 604800
*action
BAN処理のアクションを定義します。この例ではiptables-sipを実行します。その後、sendmail-whois で BANしたIPアドレスのwhois情報を dest= で指定された宛先に送ります。このとき使用されるメールのFrom:はfail2ban@exampleになりますので、適切なものに書き換えます。 
アクションの所で iptables-allports を指定するとSIPだけでなく、すべてのポートからの接続を蹴るように iptables に設定されます。『怪しい攻撃元』をブロックするという意味では、こちらのアクションの方がより安全と言えます。
*logpath
Asteriskのログファイルへのパスを記述します。
*maxretry
何回以上失敗したらBANするかの指定です。
*findtime
この時間内にmaxretryで指定した回数以上失敗するとBANします。上の例では600秒(10分)の間に、5回以上の失敗があった場合にはBANされます。
*bantime
ここで指定された期間がBAN期間になります。指定は秒数です。上の例では 60x60x24x7=604800、つまり1週間になります。

==fail2banを起動する==
/etc/init.d/fail2ban start
起動したら期待の動作をするかどうかを、よく確認してください。試しに故意に間違えたパスワードで5回以上ログインをしてみるなどです。 
起動に問題がなければ、fail2banが自動起動されるように登録しておけば良いでしょう。
chkconfig --add fail2ban
===起動の確認===
iptables -L -v で確認すると
61638 8222K fail2ban-ASTERISK all -- any any anywhere anywhere
や
Chain fail2ban-ASTERISK (1 references)
pkts bytes target prot opt in out source destination
61627 8216K RETURN all -- any any anywhere anywhere
のようなエントリがあるはずです。 
BANされるとメールが送られ
11 6424 DROP udp -- any any xxx.xxx.xxx.xx anywhere udp dpt:5060
のようなDROPのエントリが追加されているはずです。

==INVITEによるBrute force攻撃への対策==
REGISTERメッセージによる攻撃以外に、INVITEによるBrute force攻撃も確認されています。

この攻撃時に出力されるログメッセージは以下のようなものになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c

このログメッセージの攻撃元IPアドレスが、FROMヘッダに記載されているIPアドレスになっています。

このままでは、NAT配下のサーバーからの攻撃や、FROMヘッダが偽装された場合にfail2banで対応することができません。

そこで、Asteriskへパッチを当てて、実際の攻撃元IPアドレスを表示するように修正します。

===Asteriskへパッチを当てる===

次のようなパッチをAsteriskに適用します。

このパッチはAsterisk-1.4.40を対象にしていますが、1.6系、1.8系にも同様の修正で対応できます。

--- asterisk-1.4.40.orig/channels/chan_sip.c 2011-01-05 02:11:48.000000000 +0900
+++ asterisk-1.4.40/channels/chan_sip.c 2011-03-10 17:59:26.000000000 +0900
@@ -15456,7 +15456,7 @@
ast_log(LOG_NOTICE, "Sending fake auth rejection for user %s\n", get_header(req, "From"));
transmit_fake_auth_response(p, SIP_INVITE, req, XMIT_RELIABLE);
} else {
- ast_log(LOG_NOTICE, "Failed to authenticate user %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate user %s (%s:%d)\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr), ntohs(sin->sin_port));
transmit_response_reliable(p, "403 Forbidden", req);
}
p->invitestate = INV_COMPLETED;

こちらは Asterisk-1.8.23.0 用です。Asterisk-11.5.1 でもほぼ同じコードが使えます。

--- asterisk-1.8.23.0/channels/chan_sip.c.orig 2013-08-02 11:41:03.233638321 +0900
+++ asterisk-1.8.23.0/channels/chan_sip.c 2013-12-06 14:51:08.698990909 +0900
@@ -22673,7 +22673,7 @@
return 0;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return 0;
@@ -23334,7 +23334,7 @@
goto request_invite_cleanup;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response_reliable(p, "403 Forbidden", req);
p->invitestate = INV_COMPLETED;
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -25164,7 +25164,7 @@
p->lastinvite = seqno;
return 0;
} else if (auth_result < 0) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
ast_string_field_set(p, theirtag, NULL);
@@ -25384,7 +25384,7 @@
if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */
return 0;
if (res != AUTH_SUCCESSFUL) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed");

パッチを当てて、Asteriskをコンパイルし直し、再起動します。

すると、先ほどの攻撃時のログは以下のように出力されるようになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c (123.45.67.89:5060)

ログの(　)内に攻撃元の実IPアドレスが表示されるようになり、これを元にfail2banで攻撃を検知することができます。

===fail2banへ設定を追加===

修正したログに合わせたフィルタ設定をfail2banに追加します。

/etc/fail2ban/filter.d/asterisk.conf の failregex の項目に以下を追加します。

NOTICE.* .*: Failed to authenticate user .* $<HOST>:.*$

フィルタ追加後、fail2banを再起動し設定完了です。

[[Category:セキュリティ]]

SIP-Fail2ban

2013-12-10T06:36:30Z

Hhiwada: /* Asteriskへパッチを当てる */

IAXでのFail2banは'''[[IAX-Fail2ban]]'''を参照してください。
==fail2ban==
ログファイルとiptablesを利用したファイアウォールの一種。Brute Forceアタックの対策に使いやすい。 
:http://www.fail2ban.org/
:http://sourceforge.net/projects/fail2ban/
==動作条件==
pythonとiptablesが必要。yum install python iptablesなどで入れておいて下さい。
==インストール==
まずSFからfail2banをダウンロードし、展開します。
tar jxvf fail2ban-0.8.4.tar.bz2
展開したディレクトリでインストールを実行します。
cd fail2ban-0.8.4
python ./setup.py install
スタートアップ・スクリプトをコピーしておきます(CentOSなどRedHat系の場合の例)。
cp files/redhat-initd /etc/init.d/fail2ban

==設定==
===Asteriskのログフォーマットを変更する===
Fail2banはそのままではAsteriskのログの日付を認識できないため、Asteriskのログフォーマットを変更します。 
/etc/asterisk/logger.confを編集し、日付のフォーマット変更を行います。 
[general]セクションにある
dateformat=%F %T
のコメントを外すか、もしこのエントリがなければ記述します。設定を変更したら、Asteriskを再起動するか、loggerモジュールのリロードを行って、変更を有効にします。これによりAsteriskのログの日付形式が以下のように変わりますので、確認してください。
[2010-12-30 09:25:25] NOTICE[17537] chan_sip.c:.....
===Asterisk用の定義ファイルを作る===
/etc/fail2ban/filter.d ディレクトリに asterisk.conf という名前で以下のようなファイルを作ります。ここで指定したメッセージがBAN基準として使われるメッセージとなります。 
 
Asterisk 1.8系の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.6とそれ以前の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = Registration from '.*' failed for '<HOST>' - Wrong password
Registration from '.*' failed for '<HOST>' - No matching peer found
Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>' - Device does not match ACL
Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
Registration from '.*' failed for '<HOST>' - Not a local domain

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Asterisk 1.8とそれ以前ではログのホスト部分にポート番号を含む、含まないの違いがあるためfailregexの記述を変える必要がありますので注意してください。この部分に合致するメッセージが、ログファイルに現れたならばBAN基準になりますので注意して記述します。これ意外にも、引っかけたいメッセージがある場合にはそれも記述するとよいでしょう。 

===BANのアクションを作成する===
ここではUDPの5060ポート、つまりSIPだけをBAN対象としたいためアクションをSIP用に作成します。 /etc/fail2ban/action.d で以下のようにしてアクションを作成します。 
まず
cp iptables-allports.conf iptables-sip.conf
を行って、全ポート用のアクションをコピーします。次に iptables-sip.conf を編集し、以下のようにBANとUNBANのエントリを修正します。
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -p udp --dport 5060 -j DROP

# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = iptables -D fail2ban-<name> -s <ip> -p udp --dport 5060 -j DROP
-p udp と --dport 5073 を actionban と actionunban に追記します。

===fail2banの設定ファイルを修正===
/etc/fail2ban にある jail.conf ファイルの最後に以下を追加します。
[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-sip[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.net]
logpath = /var/log/asterisk/messages
maxretry = 5
findtime = 600
bantime = 604800
*action
BAN処理のアクションを定義します。この例ではiptables-sipを実行します。その後、sendmail-whois で BANしたIPアドレスのwhois情報を dest= で指定された宛先に送ります。このとき使用されるメールのFrom:はfail2ban@exampleになりますので、適切なものに書き換えます。 
アクションの所で iptables-allports を指定するとSIPだけでなく、すべてのポートからの接続を蹴るように iptables に設定されます。『怪しい攻撃元』をブロックするという意味では、こちらのアクションの方がより安全と言えます。
*logpath
Asteriskのログファイルへのパスを記述します。
*maxretry
何回以上失敗したらBANするかの指定です。
*findtime
この時間内にmaxretryで指定した回数以上失敗するとBANします。上の例では600秒(10分)の間に、5回以上の失敗があった場合にはBANされます。
*bantime
ここで指定された期間がBAN期間になります。指定は秒数です。上の例では 60x60x24x7=604800、つまり1週間になります。

==fail2banを起動する==
/etc/init.d/fail2ban start
起動したら期待の動作をするかどうかを、よく確認してください。試しに故意に間違えたパスワードで5回以上ログインをしてみるなどです。 
起動に問題がなければ、fail2banが自動起動されるように登録しておけば良いでしょう。
chkconfig --add fail2ban
===起動の確認===
iptables -L -v で確認すると
61638 8222K fail2ban-ASTERISK all -- any any anywhere anywhere
や
Chain fail2ban-ASTERISK (1 references)
pkts bytes target prot opt in out source destination
61627 8216K RETURN all -- any any anywhere anywhere
のようなエントリがあるはずです。 
BANされるとメールが送られ
11 6424 DROP udp -- any any xxx.xxx.xxx.xx anywhere udp dpt:5060
のようなDROPのエントリが追加されているはずです。

==INVITEによるBrute force攻撃への対策==
REGISTERメッセージによる攻撃以外に、INVITEによるBrute force攻撃も確認されています。

この攻撃時に出力されるログメッセージは以下のようなものになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c

このログメッセージの攻撃元IPアドレスが、FROMヘッダに記載されているIPアドレスになっています。

このままでは、NAT配下のサーバーからの攻撃や、FROMヘッダが偽装された場合にfail2banで対応することができません。

そこで、Asteriskへパッチを当てて、実際の攻撃元IPアドレスを表示するように修正します。

===Asteriskへパッチを当てる===

次のようなパッチをAsteriskに適用します。

このパッチはAsterisk-1.4.40を対象にしていますが、1.6系、1.8系にも同様の修正で対応できます。

--- asterisk-1.4.40.orig/channels/chan_sip.c 2011-01-05 02:11:48.000000000 +0900
+++ asterisk-1.4.40/channels/chan_sip.c 2011-03-10 17:59:26.000000000 +0900
@@ -15456,7 +15456,7 @@
ast_log(LOG_NOTICE, "Sending fake auth rejection for user %s\n", get_header(req, "From"));
transmit_fake_auth_response(p, SIP_INVITE, req, XMIT_RELIABLE);
} else {
- ast_log(LOG_NOTICE, "Failed to authenticate user %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate user %s (%s:%d)\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr), ntohs(sin->sin_port));
transmit_response_reliable(p, "403 Forbidden", req);
}
p->invitestate = INV_COMPLETED;

こちらは Asterisk-1.8.23.0 用です。

--- asterisk-1.8.23.0/channels/chan_sip.c.orig 2013-08-02 11:41:03.233638321 +0900
+++ asterisk-1.8.23.0/channels/chan_sip.c 2013-12-06 14:51:08.698990909 +0900
@@ -22673,7 +22673,7 @@
return 0;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
return 0;
@@ -23334,7 +23334,7 @@
goto request_invite_cleanup;
}
if (res < 0) { /* Something failed in authentication */
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response_reliable(p, "403 Forbidden", req);
p->invitestate = INV_COMPLETED;
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
@@ -25164,7 +25164,7 @@
p->lastinvite = seqno;
return 0;
} else if (auth_result < 0) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);
sip_scheddestroy(p, DEFAULT_TRANS_TIMEOUT);
ast_string_field_set(p, theirtag, NULL);
@@ -25384,7 +25384,7 @@
if (res == AUTH_CHALLENGE_SENT) /* authpeer = NULL here */
return 0;
if (res != AUTH_SUCCESSFUL) {
- ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", get_header(req, "From"));
+ ast_log(LOG_NOTICE, "Failed to authenticate device %s (%s)\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
transmit_response(p, "403 Forbidden", req);

pvt_set_needdestroy(p, "authentication failed");

パッチを当てて、Asteriskをコンパイルし直し、再起動します。

すると、先ほどの攻撃時のログは以下のように出力されるようになります。

Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c (123.45.67.89:5060)

ログの(　)内に攻撃元の実IPアドレスが表示されるようになり、これを元にfail2banで攻撃を検知することができます。

===fail2banへ設定を追加===

修正したログに合わせたフィルタ設定をfail2banに追加します。

/etc/fail2ban/filter.d/asterisk.conf の failregex の項目に以下を追加します。

NOTICE.* .*: Failed to authenticate user .* $<HOST>:.*$

フィルタ追加後、fail2banを再起動し設定完了です。

[[Category:セキュリティ]]

Asteriskコンサルタント

2013-07-04T02:33:15Z

Hhiwada: /* デンフォン株式会社 */

[[Category:Asterisk]]
Asteriskを使ったサービスや開発等を行っている組織/個人の一覧です。各種依頼等の連絡にお使いください。

自社＆自分を宣伝したい方はページを更新してください。

なお、無料サポート・質問等の窓口ではありません。ビジネスとしての問い合わせ以外は当Wiki内の各種掲示板等をご利用ください。

なお当ページに掲載ご希望の方でメールアドレスを公開したくない個人の方は、たかはしまでご連絡いただければ、voip-info.jpドメインのメールアドレスを発行します。
==メーリングリスト==
ビジネスマッチングをはかるためのMLも運用しています。 
詳しくは[[AsteriskビジネスML]]のページを参照してください。 
==会社等==
===株式会社　巧（略称巧)===
:住所：〒214-0039 川崎市多摩区栗谷4-4-1-103
:電話：044-712-8971
:担当：浅田
:メール：asada001@takumi-kk.co.jp
:ウェブ：http://www.astertel.biz/
:取り扱い製品：Asterisk導入コンサルティング, Aastra IP電話機、Asteriskサーバ構築導入

===コンピュータ利用促進協同組合（略称 CCP) / 株式会社アイウィーヴ===
:住所：〒400-0857 山梨県甲府市幸町 13-21 共栄ビル
:電話：055-244-7663
:担当：小西
:ウェブ：http://www.iweave.jp/
:ウェブ：http://www.ccp.or.jp/
:取扱製品：ひかり電話ゲートウェイ、開発、サポート、技術支援

===デンフォン株式会社===
:住所：〒106-0032 東京都港区六本木2-4-9 アソルティ六本木１丁目ビル4F
:電話：03-4550-1405
:担当：鶸田(ひわだ)
:ウェブ：http://www.denphone.com
:取り扱い製品：IP電話機(Polycom, snom, Cisco, Grandstream, Linksysなど)、Digium製品、sangoma製品、Dialogic製品など

===株式会社コミュニケーションビジネスアヴェニュー===
:住所：〒239-0847　神奈川県横須賀市光の丘8番3号YRP(横須賀リサーチパーク内）313号
:電話：046-821-3362
:ウェブ：http://www.cba-japan.com
:ショップ：http://cba.shop-pro.jp/
:取り扱い製品：trixbox Pro(ビジネス向けasterisk), Aastra IP電話機、Sangoma製品、ダイアロジックボードなど

===有限会社クラフト===
:住所：〒701-1221 岡山県岡山市北区芳賀5303 岡山リサーチパークインキュベーションセンター内
:電話：086-239-6031
:担当：田口
:ウェブ：http://www.craft-inc.net/
:メール：craft-webmaster@craft-inc.net

===株式会社クルーグ===
:住所：〒650-0022　兵庫県神戸市中央区元町通3-9-7 荻原ビル2F
:電話：078-327-8001
:ウェブ：http://www.qloog.com
:お問い合わせ：http://qloog.com/contact.html
:担当：荒尾・田辺
:取り扱い製品：プレビューダイアラー・プレディクティブダイアラー / Asterisk全般・trixboxPro（FtOCC取得エンジニア在席）・trixboxCE・インフィニトーク・BIZTELや各種SIPサーバー / 各種電話機・Sangoma/OpenVox製品・各社ゲートウェイ機器等　/　IP-PBX専用ホスティングサービス、/　コールセンター構築・Asterisk連携コールセンター向けCTI等の開発　/　Apple認定リセラー

===株式会社あすか===
:住所：〒530-0026　大阪市北区神山町2-1 若杉梅田ビル6F
:電話：06-6131-1267
:ウェブ：http://www.aska-ltd.jp
:お問い合わせ：info@aska-ltd.jp
:担当：宗近
:担当範囲：Asteriskの導入コンサル等

===ICTechnology株式会社===
:住所：〒564-0023　大阪府吹田市日の出町９－３藤本ビル３階
:電話：06-4860-7723
:ウェブ：http://www.ict.ad.jp/
:お問い合わせ：ttaniguchi@ict.ad.jp
:担当：谷口
:取り扱い製品：アイコムIP電話、フュージョンコミュニケーションズＩＰ電話、フュージョンモバイルＩＰ電話、沖電気ＢＶシリーズ、古河電工、富士通、アライドテレシス、フォーティーネット、アレクソン他。
:取り扱い業務：各種導入コンサルティング、保守・運用サポート。

===株式会社テクノアント===
:住所：〒650-0024　神戸市中央海岸通３丁目１－１KCCビル
:電話：078-907-6101
:お問い合わせ：info@technoant.com
:担当：山崎
:担当範囲：通信環境およびAsterisk導入コンサルティング

===株式会社ＲＥＬＡＴＩＯＮ===
:住所：〒708-0814　岡山県津山市東一宮 21-1
:電話：0868-27-7744
:URL：http://www.rel-ltd.com/
:お問い合わせ：takatori@rel-ltd.com
:担当：鷹取
:担当範囲：Asterisk導入コンサルティング　ネットワーク設計

===株式会社iSERVE===
:住所：〒108-0073　東京都港区三田4丁目7-19　ハタビル5階
:電話：03-6420-3234
:URL：http://www.iserve.jp/
:お問い合わせ：sales@iserve.jp
:担当：松原／橋本
:担当範囲：基盤情報システムの設計、構築、運用およびコンサルティング（アセスメント、調達支援など）
:取り扱い製品：サーバ、ストレージ、ネットワーク、セキュリティおよびVoIP（IP-PBX, IP Phoneなど）関連製品、基盤情報関連ソフトウェア
:その他：フュージョンコミュニケーションズ社販売代理店、VMware社VAC/VIP、EMC社販売代理店、NetApp社CDP、Nexenta社販売代理店

===スターシステムズ株式会社===
:住所：〒107-0062　東京都港区南青山7-10-3 南青山STビル5Ｆ
:電話：03-5774-4086
:URL：http://www.starsystems.co.jp
:お問い合わせ：asterisk-sales@starsystems.co.jp
:担当：Asteriskテクニカルサポート営業担当
:取り扱い製品：Digium認定ボードの販売、Asteriskのサポートサービスを提供します。AsteriskベースのCTIソリューション開発やナカヨ電子サービス社のIP電話機も取り扱っております。

===株式会社and One===
:住所：〒101-0041　東京都千代田区神田須田町2-17 サガミビル3階
:電話：03-5207-8455
:URL：http://www.andone.co.jp
:お問い合わせ：and1-contact@andone.co.jp
:担当：and Oneインフォメーションセンター
:取り扱い製品：Asteriskベースの『Primus』は、機能性・操作性・柔軟性・コストパフォーマンスに優れたIP-PBXソフトウェアです。
:NTT東西が提供する、フレッツ光ネクストによる電話サービス「ひかり電話」の直収が可能です。
:また、Asteriskのコンサルティングから、組み込み開発まで承りますので、ご相談ください。

===株式会社ソフツー===
:住所：〒103-0023　東京都中央区日本橋本町2-3-15 共同ビル（新本町） 5F
:電話：03-4590-2918
:URL：http://www.softsu.com
:お問い合わせ：sales03@softsu.com
:担当：杉山
:取り扱い業務： AsteriskベースのVoIPシステム、クラウドコールセンターシステム開発及び提供しています。

===メディアリンク株式会社===
:住所：〒105-0021　東京都港区東新橋2-1-6汐留プリプラビル3F
:電話：03-5733-2700
:URL：http://www.medialink-ml.co.jp
:お問い合わせ：sales@medialink-ml.co.jp
:担当：前田
:取扱製品： AsteriskベースのIP-PBX『MediaOffice』／IVR『MediaVoice』、IP電話機、各種NW機器
:取扱業務： Asterisk導入コンサルティング、上記製品販売、各種回線取次、システム開発請負
:主な導入実績：
:　大手通信事業者様　　　MediaVoice　400ライセンス（80万コール／月の稼働実績）
:　大手人材派遣業者様　　MediaVoice　40ライセンス（1万コール／月の稼働実績）
:　大手広告代理店様　　　MediaVoice　40ライセンス
:　大手決済代行会社様　　MediaOffice 400ライセンス
:　大手テレビ局様　　　　MediaOffice 100ライセンス
:　コールセンター代行会社様 MediaOffice 50ライセンス

==個人等==
===高橋隆雄===
:aka たかはし
:ウェブ：ここ
:メール：webmaster'at'voip-info'dot'jp
:担当範囲：人寄せパンダ(Asterisk関連の執筆・講演等行います)

===深海健一===
:aka：[http://www.voip-info.jp/index.php/%E5%88%A9%E7%94%A8%E8%80%85:Kei_ef_2000 ふかうみ]
:メール：kenichifukaumi'at'gmail.com
:担当範囲：世界中の優れたVoIPプロダクト〜優れたソリューションを探し出し、日本で紹介する事。またローカライズや、日本と海外両拠点での構築など対応。現在香港在住。
:主な作業：コンサルティング、AskoziaPBX日本語版、Asterisk SugarLookup、FreePBX日本語版の開発、洗練されたデザインのIP電話機器の販売、Asterisk/Trixboxの構築、保守運用など

IAX-Fail2ban

2013-06-25T02:13:05Z

Hhiwada:

SIPでのFail2banは'''[[SIP-Fail2ban]]'''を参照してください。 
ここでの解説はSIPとIAXを併用するようになっています。併用する場合にはインストール作業自体は、1度やればいいです。あたりまえですが。 
 
==fail2ban==
ログファイルとiptablesを利用したファイアウォールの一種。Brute Forceアタックの対策に使いやすい。 
:http://www.fail2ban.org/
:http://sourceforge.net/projects/fail2ban/
==動作条件==
pythonとiptablesが必要。yum install python iptablesなどで入れておいて下さい。
==インストール==
まずSFからfail2banをダウンロードし、展開します。
tar jxvf fail2ban-0.8.4.tar.bz2
展開したディレクトリでインストールを実行します。
cd fail2ban-0.8.4
python ./setup.py install
スタートアップ・スクリプトをコピーしておきます(CentOSなどRedHat系の場合の例)。
cp files/redhat-initd /etc/init.d/fail2ban

==設定==
===Asteriskのログフォーマットを変更する===
Fail2banはそのままではAsteriskのログの日付を認識できないため、Asteriskのログフォーマットを変更します。 
/etc/asterisk/logger.confを編集し、日付のフォーマット変更を行います。 
[general]セクションにある
dateformat=%F %T
のコメントを外すか、もしこのエントリがなければ記述します。設定を変更したら、Asteriskを再起動するか、loggerモジュールのリロードを行って、変更を有効にします。これによりAsteriskのログの日付形式が以下のように変わりますので、確認してください。
[2010-12-30 09:25:25] NOTICE[17537] chan_sip.c:.....
===Asterisk用の定義ファイルを作る===
/etc/fail2ban/filter.d ディレクトリに asterisk-iax.conf という名前で以下のようなファイルを作ります。ここで指定したメッセージがBAN基準として使われるメッセージとなります。 
 
Asterisk 1.8系の場合
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#

failregex = No registration for peer '.*' $from <HOST>$
Host <HOST> failed MD5 authentication

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
この部分に合致するメッセージが、ログファイルに現れたならばBAN基準になりますので注意して記述します。これ意外にも、引っかけたいメッセージがある場合にはそれも記述するとよいでしょう。 
'''1.6までのメッセージ募集中。編集してください。''' 

===BANのアクションを作成する===
ここではUDPの4569ポート、つまりIAXだけをBAN対象としたいためアクションをIAX用に作成します。 /etc/fail2ban/action.d で以下のようにしてアクションを作成します。 
まず
cp iptables-allports.conf iptables-iax.conf
を行って、全ポート用のアクションをコピーします。次に iptables-sip.conf を編集し、以下のようにBANとUNBANのエントリを修正します。
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -p udp --dport 4569 -j DROP

# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = iptables -D fail2ban-<name> -s <ip> -p udp --dport 4569 -j DROP
-p udp と --dport 5073 を actionban と actionunban に追記します。

===fail2banの設定ファイルを修正===
/etc/fail2ban にある jail.conf ファイルの最後に以下を追加します。
[asterisk-iax]

enabled = true
filter = asterisk-iax
action = iptables-iax[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.net]
logpath = /var/log/asterisk/messages
maxretry = 5
findtime = 600
bantime = 604800
*action
BAN処理のアクションを定義します。この例ではiptables-sipを実行します。その後、sendmail-whois で BANしたIPアドレスのwhois情報を dest= で指定された宛先に送ります。このとき使用されるメールのFrom:はfail2ban@exampleになりますので、適切なものに書き換えます。 
アクションの所で iptables-allports を指定するとSIPだけでなく、すべてのポートからの接続を蹴るように iptables に設定されます。『怪しい攻撃元』をブロックするという意味では、こちらのアクションの方がより安全と言えます。
*logpath
Asteriskのログファイルへのパスを記述します。
*maxretry
何回以上失敗したらBANするかの指定です。
*findtime
この時間内にmaxretryで指定した回数以上失敗するとBANします。上の例では600秒(10分)の間に、5回以上の失敗があった場合にはBANされます。
*bantime
ここで指定された期間がBAN期間になります。指定は秒数です。上の例では 60x60x24x7=604800、つまり1週間になります。

==fail2banを起動する==
/etc/init.d/fail2ban start
起動したら期待の動作をするかどうかを、よく確認してください。試しに故意に間違えたパスワードで5回以上ログインをしてみるなどです。 
起動に問題がなければ、fail2banが自動起動されるように登録しておけば良いでしょう。
chkconfig --add fail2ban
===起動の確認===
iptables -L -v で確認すると
61638 8222K fail2ban-ASTERISK all -- any any anywhere anywhere
や
Chain fail2ban-ASTERISK (1 references)
pkts bytes target prot opt in out source destination
61627 8216K RETURN all -- any any anywhere anywhere
のようなエントリがあるはずです。 
BANされるとメールが送られ
11 6424 DROP udp -- any any xxx.xxx.xxx.xx anywhere udp dpt:iax
のようなDROPのエントリが追加されているはずです。
[[Category:セキュリティ]]

ソフトフォン

2013-03-12T08:05:30Z

Hhiwada: /* 3CXPhone */

PC上で動作させるIP電話機。当然ながらPCにサウンド機能が必要。
[[Category:VoIP]]
[[Category:IP電話機]]
[[Category:Asterisk]]
==CounterPath==
旧社名Xten、現在は[http://www.counterpath.com CounterPath] 
Windows, Mac OS X, Linux版に加えてAndroid版もある。 
*無償版
:[http://www.counterpath.com/index.php?menu=download X-Lite] 
*有償製品版
:[http://www.counterpath.com/index.php?menu=Products&smenu=eyeBeam eyeBeam]
:[http://www.counterpath.com/index.php?menu=Products&smenu=bria Bria]

==SJ Labs==
[http://www.sjlabs.com/ SJ Labs] 
Windows,Windows CE版 
*無償版
:[http://www.sjlabs.com/sjp.html SJ Phone] 
==Ekiga==
GTKベースのソフトフォン。Windows版もあり。SIP/H.323対応。 
http://ekiga.org/ 
*Ekigaアカウントを登録しないでも使え、Asteriskでも動作する。 

==attractel==
旧アプリケーション名Idefisk、現在は[http://www.zoiper.com Zoiper] 
Windows,Mac OSX,Linux,Android版があり、メニュー言語で日本語も対応。 
そして何より、IAX2!!,SIP,T.38対応のクライアントです。 
※無償版(2アカウントまで) 
:[http://www.zoiper.com/free.php Zoiper Free] 
※有償版(アカウント無制限、TCP/TLS対応、その他機能沢山) 
:[http://www.zoiper.com/biz.php Zoiper Biz] 
日本では、[http://www.cba-japan.com/ CBAさん]が代理店となっています 
 
その他に、g.729コーデック対応版も有り。 

==Cisco IP Communicator==
Windows 
http://www.cisco.com/web/JP/product/hs/iptel/ipcom/index.html
*プロトコルは[[Skinny_Client_Control_Protocol|SCCP]]のみ
*[[Cisco/IP_Communicator|インストールメモ]]

==DIAX==
Windows 
http://www.laser.com/dante/diax/diax.html 

==E-Phone==
Windows 
http://www.xtremenetworks.biz/e-phone.htm 

==Empathy==
Linux 
http://live.gnome.org/Empathy 

==Firefly==
Windows,OSX 
http://www.freshtel.net/download/internetphone/ 

==FlaPhone==
Windows,OSX,Linux,Flash,AIR 
http://www.flaphone.com/

==Flash2VoIP==
Flash 
https://www.flash2voip.com/ 

==IAX Telefon==
Windows 
http://www.geocities.com/babarnazmi/ 

==Jabbin==
Windows,Linux 
http://sourceforge.net/projects/jabbin/ 

==JackenIAX==
OSX 
http://www.jackenhack.com/jackeniax/ 

==JIAX==
Windows 
http://callino.cc/jiaxcapplet/ 

==KCall==
Linux 
http://www.basyskom.de/index.pl/kcall 

==KIAX==
Windows,OSX ,Linux 
http://sourceforge.net/projects/kiax/ 

==KPhone==
Linux 
http://sourceforge.net/projects/kphone/ 

==LinPhone==
Linux,Windows 
http://www.linphone.org/index.php/eng 

==MiniPax==
Windows 
http://www.vidosystem.com/sip_softphone.htm 

==MiniSIP==
Linux,Windows 
http://www.minisip.org/ 

==MizuPhone==
Windows 
http://www.mizu-softphone.com/ 

==MozillaVOIP==
Windows,OSX,Linux 
http://www.mozillavoip.com/ 

==Mumble==
Windows,OSX,Linux 
http://mumble.sourceforge.net/ 

==NimBuzz==
Windows,OSX 
http://www.nimbuzz.com/en/pc/ 

==OfficeSIP==
Windows 
http://www.officesip.com/ 

==PhoneLITE==
Windows 
http://www.phonerlite.de/index_en.htm 

==QuteCom==
Windows,OSX,Linux 
http://www.qutecom.org/ 

==SFLPhone==
Linux 
http://sflphone.org/index.php 

==SIP Communicator==
Windows,OSX,Linux 
http://www.sip-communicator.org/index.php 

==Team Speak==
Windows,OSX,Linux 
http://www.teamspeak.com/?page=downloads 

==Telephone==
OSX 
http://code.google.com/p/telephone/ 

==TPad==
Windows 
http://www.tpad.com/sip-guide-make-calls/ 

==Twinkle==
Linux 
http://www.twinklephone.com/ 

==VBuzzer==
Windows 
http://www.vbuzzer.com/download.php 

==Voix Phone==
Windows,OSX,Linux 
http://www.voixphone.com/ 

==WXCommunicator==
Windows,Linux 
http://sourceforge.net/projects/wxcommunicator/ 

==YakaPhone==
Windows,OSX,Linux 
http://www.yakasoftware.com/index.php?option=com_content&task=view&id=12&Itemid=26 

==ZFone==
Windows,OSX,Linux 
http://zfoneproject.com/prod_zfone.html 

==3CXPhone==
Windows,Android,iPhone 
無料で使えるのに、転送(Transfer)ができる意外と珍しいソフトフォン。 
http://www.3cx.com/VOIP/voip-phone/

ソフトフォン

2013-03-12T08:03:43Z

Hhiwada: /* 3CXPhone */

ソフトフォン

2013-03-12T08:00:54Z

Hhiwada:

通話録音

2013-01-18T07:55:13Z

Hhiwada: /* MixMonitor */

[[Category:Asterisk]]
[[Category:Tips]]
意外とニーズが多いそうなので簡単に解説。
注意：通話を録音する際には法的な問題がないかどうかを、まずクリアにしてください。
Asteriskではモニタなどの機能で通話録音が可能です。
==アプリケーションを使用する==
次のような記述を行うことで、通話録音を行えます。
[record-out]
exten => _0.,1,Set(CALLFILENAME=${EXTEN:1}-${TIMESTAMP})
exten => _0.,2,Monitor(wav,${CALLFILENAME},m)
exten => _0.,3,Dial(ダイアルアウト先など)
exten => _0.,4,Congestion
exten => _0.,104,Congestion
この例では0番発信した場合の相手との通話を全て録音します。録音されたファイルはWAVフォーマットで /var/spool/asterisk/monitor/ の下に置かれます。 
Monitorのオプションを何も指定しない場合には通話は-inと-outというふたつのファイルに分かれて記録されますが、上記の例のように"m"を指定していると、通話終了後にsoxmixが呼び出され通話はひとつのファイルに保存されます。
==automon==
Asterisk 1.2からはautomonと呼ばれる動的なモニタ機能が追加されました。 
次のような記述を行います。
exten => _0.,1,Set(DYNAMIC_FEATURES=automon)
exten => _0.,2,Dial(ダイアル先,60,W) <--"W"オプションを付ける
exten => _0.,3,Congestion
"W"オプションを付けてDialコマンドを実行すると発呼した側に録音の許可がなされます。相手と通話中にダイアルした側から"*1"をプッシュすると録音が開始されます。小文字"w"を付けると着信側に録音が許可されるので、着信extenではこちらを使います。録音されたファイルは同じく/var/spool/asterisk/monitor/ の下にauto-が先頭についた名前で保存されます。
==MixMonitor==
*MixMonitorを使ったマクロ
features.conf
[applicationmap]
apps => 99,caller,Macro,apprecord

extensions.conf
[globals]
DYNAMIC_FEATURES=apps
==中略==
[macro-apprecord]
exten => s,1,GotoIf($["${XAD}" = "0" | "${XAD}" = ""]?startrec:stoprec)
exten => s,n(startrec),Playback(startmonitor)
exten => s,n,Set(XAD=1)
exten => s,n,Set(MONITOR_FILENAME=${CHANNEL:4:3}) ;内線番号の桁数によって適宜変更してください。
exten => s,n,MixMonitor(${MONITOR_FILENAME}.wav,b,cp /var/spool/asterisk/monitor/
${MONITOR_FILENAME}.wav /var/spool/asterisk/monitor/${MONITOR_FILENAME}-${DATETIME}.wav)
exten => s,n,MacroExit
exten => s,n(stoprec),StopMixMonitor
exten => s,n,Set(XAD=0)
exten => s,n,Playback(stopmonitor)
exten => s,n,MacroExit
内線番号でwavファイルが作られます。
[default]
exten => 999,1,Set(MONITOR_FILENAME=${CHANNEL:4:3})
exten => 999,n,Wait(1)
exten => 999,n,Monitor(/var/spool/asterisk/monitor/${MONITOR_FILENAME})
適当なextenで聞き返すこともできます。

Tips: 下記の設定ををMixMonitor実行前に行っておくと、転送しても録音が継続されます。

exten => s,n,Set(AUDIOHOOK_INHERIT(MixMonitor)=yes)

Asterisk 11

2012-11-30T09:25:00Z

Hhiwada:

Asterisk 11.0.0が2012年10月25日(現地時間)リリースされました。 
1.8系に続くLTSです。 
:http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-11-current
==概要==
Asterisk 11は最新のAsteriskのメジャーリリースで、Asterisk 1.8同様にLTS(Long Term Support:通常4年)になります。Asterisk 11のEOLは2017年10月が予定されています。 
:https://wiki.asterisk.org/wiki/display/AST/Asterisk+Versions
Asterisk-addonsは1.8系からAsterisk本体に統合されています。 
==パッチ==
*日本語対応
:11.0.1まで対応。オートパッチかダウンロードで。
:http://ftp.voip-info.jp/asterisk/patch/11.0.1/
*RT-200NE系(ひかり電話ホーム)対応パッチ
:http://ftp.voip-info.jp/asterisk/patch/local/11/channels/

==起動できない場合の対処==
<pre>
/usr/sbin/asterisk: error while loading shared libraries: libasteriskssl.so.1: cannot open shared object file: No such file or directory
</pre>
このメッセージが出て起動できないのはAsterisk自体がシェアードライブラリを使うようになったためです。ldconfigを一発叩けば治ります。

==T.38ゲートウェイ機能==
Asterisk 1.6ではパッチが必要でしたが、Asterisk 10以降は標準でT.38のゲートウェイ機能をサポートするようになりました。
T.38ゲートウェイ機能を有効にする手順を備忘録的に記しておきます。(CentOS 4.6での例)
*spandspのインストール
:spandspをダウンロードする。http://soft-switch.org/downloads/spandsp/spandsp-0.0.6pre21.tgz
:ソースコードを展開したフォルダで下記のコマンドを実行する。
<pre>
# ./configure --prefix=/usr
# make
# make install
</pre>
*Asteriskの res_fax モジュールを有効にする
:Asterisk 11のソースコードを展開したディレクトリで ./configure を実行する。
:make menuselect を実行し、Resorce Modules 中の res_fax を有効にする。
:make install を実行しインストール。
*sip.confの [general] 部に下記の設定を入れる
<pre>
t38pt_udptl=yes,fec,maxdatagram=400
</pre>
*着信用の extensions.conf はこんな風に。
<pre>
exten => _X.,1,Noop(${EXTEN})
exten => _X.,n,Noop(${ACCOUNTCODE})
exten => _X.,n,Set(FAXOPT(gateway)=yes,10)
exten => _X.,n,Dial(SIP/${EXTEN})
exten => _X.,n,Hangup
</pre>
*ファイアーウォールの内側にAsteriskサーバがある場合、udptl.conf を変更する必要があるかも。例えば...
<pre>
;udptlstart=4000
;udptlend=4999
udptlstart=30001
udptlend=31000
</pre>
:ちなみに、筆者のところでは上記のように設定した上で、UDP/30001～UDP/31000をAsteriskサーバにポート転送しないとFAXの送受信ができませんでした。
*T.38対応のATA(SPA112など)をFAXにつないで実験しましょう。
参考：https://wiki.asterisk.org/wiki/display/AST/T.38+Fax+Gateway
==メモ==
とりあえずページ作成。

Asterisk 11

2012-11-30T09:24:12Z

Hhiwada:

Asterisk 11

2012-11-30T09:20:50Z

Hhiwada:

Asterisk 11.0.0が2012年10月25日(現地時間)リリースされました。 
1.8系に続くLTSです。 
:http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-11-current
==概要==
Asterisk 11は最新のAsteriskのメジャーリリースで、Asterisk 1.8同様にLTS(Long Term Support:通常4年)になります。Asterisk 11のEOLは2017年10月が予定されています。 
:https://wiki.asterisk.org/wiki/display/AST/Asterisk+Versions
Asterisk-addonsは1.8系からAsterisk本体に統合されています。 
==パッチ==
*日本語対応
:11.0.1まで対応。オートパッチかダウンロードで。
:http://ftp.voip-info.jp/asterisk/patch/11.0.1/
*RT-200NE系(ひかり電話ホーム)対応パッチ
:http://ftp.voip-info.jp/asterisk/patch/local/11/channels/

==起動できない場合の対処==
<pre>
/usr/sbin/asterisk: error while loading shared libraries: libasteriskssl.so.1: cannot open shared object file: No such file or directory
</pre>
このメッセージが出て起動できないのはAsterisk自体がシェアードライブラリを使うようになったためです。ldconfigを一発叩けば治ります。

==T.38ゲートウェイ機能==
Asterisk 1.6ではパッチが必要でしたが、Asterisk 10以降は標準でT.38のゲートウェイ機能をサポートするようになりました。
T.38ゲートウェイ機能を有効にする手順を備忘録的に記しておきます。(CentOS 4.6での例)
*spandspのインストール
:spandspをダウンロードする。http://soft-switch.org/downloads/spandsp/spandsp-0.0.6pre21.tgz
:ソースコードを展開したフォルダで下記のコマンドを実行する。
<pre>
# ./configure --prefix=/usr
# make
# make install
</pre>
*Asteriskの res_fax モジュールを有効にする
:Asterisk 11のソースコードを展開したディレクトリで ./configure を実行する。
:make menuselect を実行し、Resorce Modules 中の res_fax を有効にする。
:make install を実行しインストール。
*sip.confの [general] 部に下記の設定を入れる
<pre>
t38pt_udptl=yes,fec,maxdatagram=400
</pre>
*着信用の extensions.conf はこんな風に。
<pre>
exten => _X.,1,Noop(${EXTEN})
exten => _X.,n,Noop(${ACCOUNTCODE})
exten => _X.,n,Set(FAXOPT(gateway)=yes,10)
exten => _X.,n,Dial(SIP/${EXTEN})
exten => _X.,n,Hangup
</pre>
*ファイアーウォールの内側にAsteriskサーバがある場合、udptl.conf を変更する必要があるかも。例えば...
<pre>
;udptlstart=4000
;udptlend=4999
udptlstart=30001
udptlend=31000
</pre>
:ちなみに、筆者のところでは上記のように設定した上で、UDP/30001～UDP/31000をAsteriskサーバにポート転送しないとFAXの送受信ができませんでした。
*T.38対応のATA(SPA112)をFAXにつないで実験しましょう。
==メモ==
とりあえずページ作成。

Asterisk 11

2012-11-30T09:19:48Z

Hhiwada:

Asterisk 11.0.0が2012年10月25日(現地時間)リリースされました。 
1.8系に続くLTSです。 
:http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-11-current
==概要==
Asterisk 11は最新のAsteriskのメジャーリリースで、Asterisk 1.8同様にLTS(Long Term Support:通常4年)になります。Asterisk 11のEOLは2017年10月が予定されています。 
:https://wiki.asterisk.org/wiki/display/AST/Asterisk+Versions
Asterisk-addonsは1.8系からAsterisk本体に統合されています。 
==パッチ==
*日本語対応
:11.0.1まで対応。オートパッチかダウンロードで。
:http://ftp.voip-info.jp/asterisk/patch/11.0.1/
*RT-200NE系(ひかり電話ホーム)対応パッチ
:http://ftp.voip-info.jp/asterisk/patch/local/11/channels/

==起動できない場合の対処==
<pre>
/usr/sbin/asterisk: error while loading shared libraries: libasteriskssl.so.1: cannot open shared object file: No such file or directory
</pre>
このメッセージが出て起動できないのはAsterisk自体がシェアードライブラリを使うようになったためです。ldconfigを一発叩けば治ります。

==T.38ゲートウェイ機能==
Asterisk 1.6ではパッチが必要でしたが、Asterisk 10以降は標準でT.38のゲートウェイ機能をサポートするようになりました。
T.38ゲートウェイ機能を有効にする手順を備忘録的に記しておきます。(CentOS 4.6での例)
*spandspのインストール
:spandspをダウンロードする。http://soft-switch.org/downloads/spandsp/spandsp-0.0.6pre21.tgz
:ソースコードを展開したフォルダで下記のコマンドを実行する。
<pre>
# ./configure --prefix=/usr
# make
# make install
</pre>
*Asteriskのres_faxを有効にする
:Asterisk 11のソースコードを展開したディレクトリで ./configure を実行する。
:make menuselect を実行し、Resorce Modules 中の res_fax を有効にする。
:make install を実行しインストール。
*sip.confの [general] 部に下記の設定を入れる
<pre>
t38pt_udptl=yes,fec,maxdatagram=400
</pre>
*着信用のextensions.confはこんな風に。
<pre>
exten => _X.,1,Noop(${EXTEN})
exten => _X.,n,Noop(${ACCOUNTCODE})
exten => _X.,n,Set(FAXOPT(gateway)=yes,10)
exten => _X.,n,Dial(SIP/${EXTEN})
exten => _X.,n,Hangup
</pre>
*ファイアーウォールの内側にAsteriskサーバがある場合、udptl.confを変更する必要があるかも。例えば...
<pre>
;udptlstart=4000
;udptlend=4999
udptlstart=30001
udptlend=31000
</pre>
:ちなみに、筆者のところでは上記のように設定した上で、UDP/30001～UDP/31000をAsteriskサーバにポート転送しないとFAXの送受信ができませんでした。
*T.38対応のATA(SPA112)をFAXにつないで実験しましょう。
==メモ==
とりあえずページ作成。

Asterisk 11

2012-11-30T09:17:03Z

Hhiwada:

Asterisk 11.0.0が2012年10月25日(現地時間)リリースされました。 
1.8系に続くLTSです。 
:http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-11-current
==概要==
Asterisk 11は最新のAsteriskのメジャーリリースで、Asterisk 1.8同様にLTS(Long Term Support:通常4年)になります。Asterisk 11のEOLは2017年10月が予定されています。 
:https://wiki.asterisk.org/wiki/display/AST/Asterisk+Versions
Asterisk-addonsは1.8系からAsterisk本体に統合されています。 
==パッチ==
*日本語対応
:11.0.1まで対応。オートパッチかダウンロードで。
:http://ftp.voip-info.jp/asterisk/patch/11.0.1/
*RT-200NE系(ひかり電話ホーム)対応パッチ
:http://ftp.voip-info.jp/asterisk/patch/local/11/channels/

==起動できない場合の対処==
<pre>
/usr/sbin/asterisk: error while loading shared libraries: libasteriskssl.so.1: cannot open shared object file: No such file or directory
</pre>
このメッセージが出て起動できないのはAsterisk自体がシェアードライブラリを使うようになったためです。ldconfigを一発叩けば治ります。

==T.38ゲートウェイ機能==
Asterisk 1.6ではパッチが必要でしたが、Asterisk 10以降は標準でT.38のゲートウェイ機能をサポートするようになりました。
T.38ゲートウェイ機能を有効にする手順を備忘録的に記しておきます。(CentOS 4.6での例)
*spandspのインストール
:spandspをダウンロードする。http://soft-switch.org/downloads/spandsp/spandsp-0.0.6pre21.tgz
:ソースコードを展開したフォルダで下記のコマンドを実行する。
<pre>
# ./configure --prefix=/usr
# make
# make install
</pre>
*Asteriskのres_faxを有効にする
:Asterisk 11のソースコードを展開したディレクトリで ./configure を実行する。
:make menuselect を実行し、Resorce Modules 中の res_fax を有効にする。
:make install を実行しインストール。
*sip.confの [general] 部に下記の設定を入れる
<pre>
t38pt_udptl=yes,fec,maxdatagram=400
</pre>
*着信用のextensions.confはこんな風に。
<pre>
exten => _X.,1,Noop(${EXTEN})
exten => _X.,n,Noop(${ACCOUNTCODE})
exten => _X.,n,Set(FAXOPT(gateway)=yes,10)
exten => _X.,n,Dial(SIP/${EXTEN})
exten => _X.,n,Hangup
</pre>
*ファイアーウォールの内側にAsteriskサーバがある場合、udptl.confを変更する必要があるかも。例えば...
<pre>
;udptlstart=4000
;udptlend=4999
udptlstart=30001
udptlend=31000
</pre>
*T.38対応のATA(SPA112)をFAXにつないで実験しましょう。
==メモ==
とりあえずページ作成。

Android端末

2011-07-11T01:41:10Z

Hhiwada: /* SIP */

[[Category:VoIP]]
[[Category:IP電話機]]
[[Category:Asterisk]]
Android端末は基本的に2.3.3移行ではSIPのネイティブサポートがある「はず」です。ですが、キャリアやベンダーによってはこのSIPを無効にしてある場合があるため、2.3.3以降であった場合でもSIPが必ず使えるわけではないということに注意してください。
===SIPが有効な端末===
*NexusOne
*Xperia Arc（海外購入機、docomo購入機共に）

===SIPが無効な端末===
*NEC/CASIO N-06C (docomo, MEDIAS WP)
*Samsung Galaxy S II (Unlocked, HK version)

==ソフトフォン==
Androidで使用できるソフトフォン
===SIP===
*3CX Phone
:旧SIPagentが3CXに買われたもの。マーケットにあります
*Bria(有償)
:マーケットから購入可能。G.729は有償オプション。
*Acrobits Softphone(有償)
:マーケットから購入可能。G.729は有償オプション。
*CSipSimple
:マーケットにあります。

===IAX===
*IAXagent
:マーケットにあります。

Android端末

2011-07-11T01:33:36Z

Hhiwada: /* SIPが無効な端末 */

[[Category:VoIP]]
[[Category:IP電話機]]
[[Category:Asterisk]]
Android端末は基本的に2.3.3移行ではSIPのネイティブサポートがある「はず」です。ですが、キャリアやベンダーによってはこのSIPを無効にしてある場合があるため、2.3.3以降であった場合でもSIPが必ず使えるわけではないということに注意してください。
===SIPが有効な端末===
===SIPが無効な端末===
*NEC/CASIO N-06C (docomo, MEDIAS WP)
*Samsung Galaxy S II (Unlocked, HK version)

==ソフトフォン==
Androidで使用できるソフトフォン
===SIP===
*3CX Phone
:旧SIPagentが3CXに買われたもの。マーケットにあります
*Bria(有償)
:マーケットから購入可能。G.729は有償オプション。

===IAX===
*IAXagent
:マーケットにあります。

イベント情報

2010-11-17T08:16:44Z

Hhiwada: /* 定例 */

'''Asterisk/VoIP関連のイベント情報です'''
==イベント==
*

==セミナー==
*

==定例==
*VoIP & Asteriskラウンジ(東京)

:'''2010年12月は、12月2日に開催するスペシャルイベントのみです。第2木曜日の定例会はありません。'''
:'''詳細は掲示板をご参照ください'''
:http://bbs.voip-info.jp/forum/viewtopic.php?showtopic=4041&lastpost=true#4041

:開催日:基本は毎月第2木曜日
:場所: カフェ・マルシェ(元カフェ・ロリータ)
:連絡先：デンフォン株式会社
::鶸田英彦
::Tel: 03-4550-1405 / 070-5630-1907
::http://www.denphone.com
:内容:
::VOIP & ASTERISKラウンジはVoIPコミュニティーの人々がつどい、快適な空間でVoIPやAsteirsk、電話システムなどについて話し合う場です。cafe marche は気軽な雰囲気の中、コーヒー、ビール、カクテルや軽いイタリア料理などをリーズナブルな価格で提供しています。このラウンジには日本語、英語のどちらの言葉を話す方でも参加いただけます。
::デンフォン株式会社は、日本においてVoIPおよびコンサルティングを提供する優れた企業のひとつです。私どもはIPテレフォニーとITソリューションを、多国籍の大企業から日本の中小企業まで幅広くご提供しています。
::みなさまのVOIPラウンジへのご参加を心よりお待ちしております。

==過去の出展情報など==
===2007年===
*[[Linux World Expo 2007]]
*[[OSC 2007-kansai]]
*[[OSC 2007-Tokyo/Fall]]
*[[関西オープンソース2007]]
===2008年===
*[[OSC 2008-Tokyo/Spring]]
*[[Linux World Expo 2008]]
*[[OSC 2008 Kansai]]
*[[OSC 2008 Tokyo/Fall]]
*[[関西オープンソース2008]]
===2009年===
*[[OSC 2009 Sendai]]
*[[OSC 2009 Tokyo/Spring]]
*[[OSC 2009 Shimane]]
*[[OpenSource Wolrd 2009]]
*[[OSC 2009 Kansai]]
*[[OSC 2009 Okinawa]]
*[[OSC 2009 Tokyo/Fall]]
*[http://www.kiis.or.jp/trn/seminar/091030/ スリムな経営のためのIT戦略]
===2010年===
*[[OSC 2010 Tokyo/Spring]]
*OSC 2010 Kansai@Kobe
*[[OSC_2010_Sendai]]
*[[OSC 2010 Kansai/Kyoto]]
*[[OSC 2010 Tokyo/Fall]]

音声合成

2010-08-03T04:49:37Z

Hhiwada:

当Wikiで扱う音声合成は主にTTS(Text To Speech)エンジンです。 
音声合成機能をAsteriskと併用/統合することで次のようなことが出来ます。 
*外部から取り込んだテキストを読み上げる
:例えばWebコンテンツや電子メールなどを電話で『聞く』ことができます。
*IVRメニューを吹き込みなしで構築できる
:通常、IVRのメニューは音声の吹き込み/調整が必要ですが音声合成を使うことで、テキスト記述するだけでメニューが構築できるため維持/管理が簡単かつ安価に行えます。
*[[音声認識]]機能との併用
:[[音声認識]]機能と併用することにより、ダイヤル操作などを伴わないインタラクティブなシステムを構築することができます。
==Festival==
Festival(英語)は以前からAsteriskに統合されているTTSのひとつです。対象言語は英語です。 
Festivalそのものは別途入手/インストールする必要がありますが、アプリケーション・インタフェースはAsteriskに統合されています。
==[[AquesTalk]]==
[[AquesTalk]](日本語)はAquest社による軽量の日本語TTSです。オープンソースではありませんが、ライブラリが非常にコンパクトで使いやすくなっています。いかに人の声に似せるかを目的としてはおらず、機械音声でありながら『聞き取りやすい』ことを目的とした合成音声です。 
VoIP-Info.jpではこのAquesTalkをAsteriskに統合するアプリケーション・モジュールを提供しており、日本国内における独自プロジェクトのひとつとして進めています。 
詳しくは [[AquesTalk]] のページを参照してください。 
==Cepstral==
Cepstral(英語)もAsteriskに簡単に追加することができるTTSのひとつです。 
バイナリ提供のapp_cepstralをインストールすることで、かなり簡単にTTSを実現することが可能です。 
対応言語は英語、フランス語、ドイツ語、イタリア語。(US English, French Canadian and Americas' Spanish, UK English, German, and Italian) 
Voice of AsteriskのAllisonさんの音声もあり。
http://www.cepstral.com/

購入情報

2009-01-29T04:58:28Z

Hhiwada: /* デンフォン */

イベント情報

2008-09-03T07:42:22Z

Hhiwada: /* 定例 */

'''Asterisk/VoIP関連のイベント情報です'''
==イベント==

==セミナー==

==定例==
*VoIP & Asteriskラウンジ(東京)
:開催日:基本は毎月第2木曜日 '''次回は9月11日'''
:場所: [http://maps.google.co.jp/maps?f=q&hl=ja&q=%E3%82%AB%E3%83%95%E3%82%A7%E3%83%BB%E3%83%AD%E3%83%AA%E3%83%BC%E3%82%BF%E9%BA%BB%E5%B8%83%E5%8D%81%E7%95%AA%E5%BA%97&sll=35.658264,139.73493&sspn=0.002898,0.003648&layer=&ie=UTF8&z=18&ll=35.656904,139.734786&spn=0.002899,0.003648&om=1&iwloc=A Cafe Lolita （カフェ・ロリータ）麻布十番店] 18：00 - 20:00
::都営大江戸線麻布十番駅 7番出口六本木ヒルズ方面へ徒歩50m
::または、東京メトロ日比谷線六本木駅下車、芋洗坂を下り麻布十番方面へ徒歩約10分
:連絡先：デンフォン株式会社
::鶸田英彦
::Tel: 03-4550-1405 / 070-5630-1907
::http://www.denphone.com
:内容:
::VOIP & ASTERISKラウンジはVoIPコミュニティーの人々がつどい、快適な空間でVoIPやAsteirsk、電話システムなどについて話し合う場です。Cafe Lolita は気軽な雰囲気の中、コーヒー、ビール、カクテルや軽いイタリア料理などをリーズナブルな価格で提供しています。このラウンジには日本語、英語のどちらの言葉を話す方でも参加いただけます。
::デンフォン株式会社は、日本においてVoIPおよびコンサルティングを提供する優れた企業のひとつです。私どもはIPテレフォニーとITソリューションを、多国籍の大企業から日本の中小企業まで幅広くご提供しています。
::みなさまのVOIPラウンジへのご参加を心よりお待ちしております。

==過去の出展情報など==
===2007年===
*[[Linux World Expo 2007]]
*[[OSC 2007-kansai]]
*[[OSC 2007-Tokyo/Fall]]
*[[関西オープンソース2007]]
===2008年===
*[[OSC 2008-Tokyo/Spring]]
*[[Linux World Expo 2008]]
*[[OSC 2008 Kansai]]

Asteriskコンサルタント

2007-05-14T04:46:17Z

Hhiwada: /* 会社等 */

VoIP-Info.jp - 利用者の投稿記録 [ja]

Asterisk 20 サンプル設定ファイル 解説 pjsip

Asteriskコンサルタント

SIP-Fail2ban

SIP-Fail2ban

SIP-Fail2ban

ICOM VE-IG1

購入情報

Asterisk

SIP-Fail2ban

SIP-Fail2ban

Asteriskコンサルタント

IAX-Fail2ban

ソフトフォン

ソフトフォン

ソフトフォン

通話録音

Asterisk 11

Asterisk 11

Asterisk 11

Asterisk 11

Asterisk 11

Android端末

Android端末

イベント情報

音声合成

購入情報

イベント情報

Asteriskコンサルタント

最近の出来事

Asterisk 20 サンプル設定ファイル解説 pjsip