Seit der Öffnung des Asterisk für Anrufe von beliebigen SIP Anrufern häufen sich Log-Zeilen wie diese:

[Aug  6 19:54:54] NOTICE[30502]: chan_sip.c:22650 handle_request_invite: Call from '' (176.31.103.97:5086) to extension '00972597562518' rejected because extension not found in context 'guest'.
== Using SIP RTP CoS mark 5
[Aug  6 19:54:55] NOTICE[30502]: chan_sip.c:22650 handle_request_invite: Call from '' (176.31.103.97:5070) to extension '000972597562518' rejected because extension not found in context 'guest'.

Jemand mit der IP 176.31.103.97 versucht offensichtlich, über unseren Asterisk kostenlos nach Israel zu telefonieren. Selbstverständlich ist das im guest-Kontext gar nicht möglich, dennoch nerven diese Hack-Versuche.

Mit Hilfe der Software fail2ban kann das Problem schnell und einfach reduziert werden. Fail2ban prüft die Asterisk Log-Dateien und sperrt auffällige IP-Adressen per IPTables. Wir haben dazu die Datei /etc/fail2ban/filter.d/asterisk.conf um einen Eintrag wie diesen ergänzt:

`NOTICE.* .*: Call from '.*' \(:.*\) to extension '.*' rejected because extension not found in context 'guest'.*`

Den Erfolg können wir wenige Minuten später in der fail2ban Logdatei beobachten:

`2013-08-06 19:54:56,132 fail2ban.actions: WARNING [asterisk-iptables] Ban 176.31.103.97
2013-08-06 19:55:21,250 fail2ban.actions: WARNING [asterisk-iptables] Ban 37.8.37.132`

Diese IP-Adressen sind erst einmal gesperrt und werden erst nach einer einstellbaren Zeitspanne wieder freigegeben.

Diese Vorgehensweise hat leider auch einen Nachteil: Versucht ein Kunde/Lieferant/Bekannter, eine Durchwahl zu erreichen, die es nicht gibt, wird auch die IP-Adresse dieser Person gesperrt. Ob das sinnvoll ist, nach welcher Anzahl von Fehlversuchen und für wie lange, sollte daher für jede Organisation individuell entschieden werden. Hilfreich ist zudem ein Whitelisting bekannter IP-Adressen von Kunden/Lieferanten.