Сегодня мне позвонили с провайдера и предупредили о резком росте международного трафика.
Обнаружил, что на мой городской номер поступает большое кол-во непонятных входящих звонков. При том, что на входящие этот городской номер не используется вообще (настраивал inbound_routes на будущее).

Пошарившись в asterisk и почитав google, я думаю, что дело в этом злосчастном пункте.
В freepbx по-умолчанию оно стоит в yes (я собственно и оставил как есть).

Несанкционированный доступ на сам asterisk я практически исключаю (несмотря на простые пароли и вообще их отсутствие у sip-клиентов), т.к. извне зайти на него нельзя никак (как и подключиться к нему sip-клиенту) - ни веб, ни ssh, ни sip, ни что-то другое из инета невидны. Asterisk смотрит напрямую к sip-провайдеру, имея приватный ip. Звонки "изнутри организации" тоже исключены.

Я читал, как ded рассказывал про слив трафика из-за Allow Anonymous Inbound SIP Calls
Как это вообще реализуется, если у злоумышленника по сути есть только мой городской номер?
Что нужно сделать, чтобы обезопасить себя на будущее (достаточно его включить в NO)? На всякий случай удалил inbound_route и user context в самом транке.

Предупреждаю, я админ, не voip-спец )

предупреждаю, мы voip-спецы, а не админы!
Вы в логи смотрели?
что за городской номер?
как он подключен?
проверяли его на дырявость?
наличие на фаерволле всяких SIP улучшайзеров также способствует дырявости

Приведу один пример, не полностью соответствующий данной проблеме, но который может натолкнуть на мысль.
Мой оператор принимал семизначный номер для звонков на номера СПб.
Вызовы на мобильные сети были как принято в России -- 8921XXXXXXX.
Ко мне приходили вызовы с префиксом 7812, который я отрезал и оставшуюся часть сливал на оператора.
Поломали очень легко -- послали номер вида 78128921XXXXXXX, в результате префикс 7812 отрезался и оператору ушел звонок на сотовый телефон.
Налили немного -- рублей на 150. Но научило всегда делать проверки и ограничения.

А Вы уверены, что позвонив на Ваш номер невозможно каким-нибудь образом получить доступ к внешним звонкам? Аля карточного доступа?
Конечно мы сейчас здесь будем дружно гадать на кофейной гуще и пытаться разобраться, как же у Вас asterisk вдруг решил самостоятельной жизнью пожить...
Видать у него за границей подруга завелась -- вот и названивает. ;)
Может через Ваш номер набрали SIP-аккаунт без пароля и слили трафик?

Как правильно написал switch -- смотрите логи.
Делайте аудит системы в целом, а не только asterisk'а.
Раз слили -- значит дырка есть.

Ну ну .. А сменить пароли на БД и пермишены расставить ессно не забыли?
Дайте мне ваш адрес , я себе freepbx сам настрою , подождав только , когда из веба релоад сделают.

посмотрите в extensions есть ли у вас донабор на этом транке(на грордском номере) или disa

Спасибо за отклики.

Вы в логи смотрели?
что за городской номер?
как он подключен?
проверяли его на дырявость?
наличие на фаерволле всяких SIP улучшайзеров также способствует дырявости

улучшайзеров нет
номер на дырявость не проверял, ибо не умею (честно говоря думал, что дырявыми могут быть порты, протоколы и т.п., а не sip-номер с диалпланом :) )
Неужели есть какая-то утилита для проверки?

Ну ну .. А сменить пароли на БД и пермишены расставить ессно не забыли?
Дайте мне ваш адрес , я себе freepbx сам настрою , подождав только , когда из веба релоад сделают.

А что произойдет? Из внешнего мира мой freepbx может получать только sip-трафик, предназначенный моему городскому номеру и все. Все порты снаружи закрыты. Что такого можно завернуть в sip-пакет, чтобы получить доступ к моей БД ?? Я правда не понимаю, не могли бы Вы пояснить.

А Вы уверены, что позвонив на Ваш номер невозможно каким-нибудь образом получить доступ к внешним звонкам? Аля карточного доступа?

Не уверен. Сам не настраивал точно. Настройки по-умолчанию менял только по надобности и осознанно.

Может через Ваш номер набрали SIP-аккаунт без пароля и слили трафик?

А есть такая возможность? Грубо, позвонить на городской, набрать имя sip-аккаунта и пароль, и звонить дальше?

Чтобы НАВЕРНЯКА обезопасить себя от всякого рода прощупований диалплана и т.п. извне, достаточно ли (просто, да или нет?) убрать inbound_route и user_context в транке (ну и сабж в придачу)? Мне нужно звонить только исходящие и все.

Сейчас входящие звонки имеют такой лог:
лог1

А вот выцепил лог когда был слив. Хотя я не уверен, что это успешная попытка звонка, но таких входящих было много.
лог2

4951234567 - мой городской номер, 195.111.111.111 - медиа-шлюз провайдера

посмотрите в extensions есть ли у вас донабор на этом транке(на грордском номере) или disa

в disa пусто, в extensions ничего подозрительного не нашел...

Ничего подобного! По умолчанию - no

по логу 2 видно, что кто-то все-таки ломится и пробует звонить на московский номер. Видимо анонимные звонки все-таки разрешены. Однако диалплан freepbx не находит правил для обработки звонка и хангапит его.
Для большей уверенности надо записать дамп и изучить его в wireshark.
Сдается мне у вас firewall дырявый

Все оказалось намного проще )
Изучив детализацию за предыдущий месяц, выяснилось, что имела место "всего лишь" ошибка билинга прова (на 1млн руб между прочим).

А непонятный поток входящих звонков вероятно лишь совпадение.

Биллинг имеет сертификат? ;-)
Нехилая ошибка, на такого прова самим бы в суд подать, да российские законы не позволяют (необходимо понести ущерб).