Взлом станции Опции

[foxyfive]

Здравствуйте!
К станции подключен sip номер. пароли на maint admin user установлены. злоумышленники как то узнают пароль от sip номера, и звонят в восточные страны. пароль кроме меня и станции никто не знает.
И еще момент.
Открыты порты во внешку на АТС MFIM-600 – 5588, 1720, 2048-3071, 7000-7011, 7100-7111, 7300-7311, 9200-9211, 80, 5060,5061.
Прокинуты порты на VOIM8 -- 6000-6095,8000-8095,9000-9095,6254
Какие дополнительные меры безопасности нужно предпринять?

[AXEL]

407 авторизация включена?

[foxyfive]

Нет. А как её включить?

[AXEL]

Нет. А как её включить?

Sip data, sip phone attr. 211 программа

[foxyfive]

Оказалось было включено.Что нибудь ещё?

[harris]

Оказалось было включено.Что нибудь ещё?

Если ваш SIP абонент не перемещается по сети (его IP адрес не меняется), то можно включить в ПГМ210 опцию [IP AUTH USAGE].

[foxyfive]

Если ваш SIP абонент не перемещается по сети (его IP адрес не меняется), то можно включить в ПГМ210 опцию [IP AUTH USAGE].

включил, для чего нужна эта опция?

[harris]

включил, для чего нужна эта опция?

А для чего нужна дока??

IP AUTH USAGE
ON: Discard SIP Request(INVITE, REGISTER, NOTIFY, OPTIONS, MESSAGE …) if VIA IP and From IP are neither the server IP nor SIP Extension IP.

IP AUTH USAGE Использование аутентификации IP (по IP-адресу):
ON: Сброс (игнорирование) служебных сообщений SIP (INVITE, REGISTER, NOTIFY, OPTIONS, MESSAGE …), если транзитный и исходный IP-адреса SIP (VIA и FROM) не являются ни адресом сервера, ни адресом абонента SIP.

[stasmar]

и звонят в восточные страны.

Таджики, что ли додумались?

[foxyfive]

и еще в африку ) а точнее в папуа новую гвинею)

[foxyfive]

А для чего нужна дока??

IP AUTH USAGE
ON: Discard SIP Request(INVITE, REGISTER, NOTIFY, OPTIONS, MESSAGE …) if VIA IP and From IP are neither the server IP nor SIP Extension IP.

IP AUTH USAGE Использование аутентификации IP (по IP-адресу):
ON: Сброс (игнорирование) служебных сообщений SIP (INVITE, REGISTER, NOTIFY, OPTIONS, MESSAGE …), если транзитный и исходный IP-адреса SIP (VIA и FROM) не являются ни адресом сервера, ни адресом абонента SIP.

ip адрес имеется ввиду локальный или внешний?

[harris]

и еще в африку ) а точнее в папуа новую гвинею)

Бывает... На днях к нам, на нашу станцию тоже "подсел" какой-то хакер из Египта и пытался звонить на разные направления, в том числе на номера "интим по телефону". Хорошо, что Sipnet прислал нам уведомление об этом с предположением, что есть факт взлома на нашей системе.
И это действительно так... После завершения ряда экспериментов с одним из SIP номеров попросту забыли включить ему авторизацию (407 Authentication)...

ИМХО, вот поэтому фирменные протоколы (IPKTS, например) лучше, чем стандартный SIP...

[vldmr]

Поменять SIP порт на нестандартный! Полностью не защитит, но вероятность взлома значительно меньше.

[Dron]

Поменять SIP порт на нестандартный! Полностью не защитит, но вероятность взлома значительно меньше.

Согласен. Я у себя уже давно поменял. Судя по логам роутера, на нестандартный порт не было ни одного запроса. На 5060 постоянно ломятся.

[foxyfive]

Согласен. Я у себя уже давно поменял. Судя по логам роутера, на нестандартный порт не было ни одного запроса. На 5060 постоянно ломятся.

А можно по подробнее, как это сделать?

[harris]

А можно по подробнее, как это сделать?

Какие подробности требуются??
Есть ПГМ210, там назначается порт для сигнализации SIP (и для SIP транка, и для SIP сервера - порт один и тот же).
Соотвественно, нужно и на терминалах абонентов поменять порт сервера, и на роутере (за котором) стоит станция прокинуть новый порт на MFIM.

[foxyfive]

Какие подробности требуются??
Есть ПГМ210, там назначается порт для сигнализации SIP (и для SIP транка, и для SIP сервера - порт один и тот же).
Соотвественно, нужно и на терминалах абонентов поменять порт сервера, и на роутере (за котором) стоит станция прокинуть новый порт на MFIM.

по поводу 210 и роутера это я понял, а терминал абонента это что имеется ввиду?

[harris]

по поводу 210 и роутера это я понял, а терминал абонента это что имеется ввиду?

SIP-телефон, подключенный к вашей станции.
Если у Вас нет SIP-абонентов, то о чем мы тогда говорим???

Исходно вы спрашивали:

К станции подключен sip номер. пароли на maint admin user установлены. злоумышленники как то узнают пароль от sip номера, и звонят в восточные страны. пароль кроме меня и станции никто не знает.

Так о каком номере идет речь???

Это подключение вашей станции к SIP-провайдеру (SIP-транк)??? Или SIP-телефон, подключенный к вашей станции (абонент вашей станции)??

[foxyfive]

подключение вашей станции к SIP-провайдеру (SIP-транк)

[harris]

подключение вашей станции к SIP-провайдеру (SIP-транк)

Т.е. какой-то хакер регистрируется у SIP провайдера под вашим паролем вместо вашей станции???
Или что??
Что именно происходит, что вам говорит провайдер??

[foxyfive]

Т.е. какой-то хакер регистрируется у SIP провайдера под вашим паролем вместо вашей станции???
Или что??
Что именно происходит, что вам говорит провайдер??

я же в самом начале написал, что этот злодей как то узнает пароли, и звонит с моего логина, на сайте провайдера видно второе подключение с моего sip номера. провайдер мне говорит у вас дыры в оборудовании копайтесь в нем

[harris]

я же в самом начале написал, что этот злодей как то узнает пароли, и звонит с моего логина, на сайте провайдера видно второе подключение с моего sip номера. провайдер мне говорит у вас дыры в оборудовании копайтесь в нем

Второе подключение??? С другого (не вашего) IP адреса???

[vldmr]

Так может у провайдера засланный казачок?
Договоритесь с провайдером что бы по вашему логину принималась сигнализация только с вашего IP.

[foxyfive]

Так может у провайдера засланный казачок?
Договоритесь с провайдером что бы по вашему логину принималась сигнализация только с вашего IP.

Взломы продолжаются.
У провайдера нет привязки логина к определённому IP и они не могут нас обезопасить с этой точки зрения.
Может быть можно как то поменять стандартный порт на АТС чтобы IP телефония шла не по стандартному порту?
Или какие методы защиты есть ещё?

[Dron]

Взломы продолжаются.
У провайдера нет привязки логина к определённому IP и они не могут нас обезопасить с этой точки зрения.
Может быть можно как то поменять стандартный порт на АТС чтобы IP телефония шла не по стандартному порту?
Или какие методы защиты есть ещё?

Может у вас дыра в доступе по web к станции, коль кто то там УЗНАЕТ ваши аккаунты?

[foxyfive]

Может у вас дыра в доступе по web к станции, коль кто то там УЗНАЕТ ваши аккаунты?

Пароли на maint admin user изменены, и никому неизвестны. В последний раз когда менял пароли, недели 2 никто из чужих ip не звонил, потом опять началось.

[Dron]

Пароли на maint admin user изменены, и никому неизвестны. В последний раз когда менял пароли, недели 2 никто из чужих ip не звонил, потом опять началось.

А порт для WEB?

[foxyfive]

А порт для WEB?

80, не менял.

[Dron]

80, не менял.

Стандартный. Может поменять на что то невразумительное!

[Dron]

Может быть можно как то поменять стандартный порт на АТС чтобы IP телефония шла не по стандартному порту?

Сначала задайте вопрос провайдеру - будет ли он менять у себя порт?

[foxyfive]

Стандартный. Может поменять на что то невразумительное!

А в каком пгм его поменять?

[harris]

Сначала задайте вопрос провайдеру - будет ли он менять у себя порт?

Андрей! Я не понял, а какой порт должен поменять провайдер??

Какой пароль для вашего логина используется??? Нужно, чтобы пароль был длиной не менее 8-10 символов!!

[Dron]

А в каком пгм его поменять?

Варианта два - либо на станции в System Attributes(160~161) [N] --> Web Server Port, либо на роутере преобразовывать портики. У меня по 2-му варианту.
Но, если есть подозрения, что в локалке вашей кто то может подключаться, то, лучше, на станции поменяйте.
И, молчок, естественно...

[Dron]

Андрей! Я не понял, а какой порт должен поменять провайдер??

Был задан вопрос, можно ли поменять порт для IP вызовов на нестандартный. Соответственно, надо узнать, а будет ли провайдер менять у себя порт...

[harris]

Был задан вопрос, можно ли поменять порт для IP вызовов на нестандартный. Соответственно, надо узнать, а будет ли провайдер менять у себя порт...

Я так понимаю, что имелся в виду SIP Signalling port (5060) в станции. Провайдер ничего менять не будет и не должен. При регистрации у провайдера автоматически будет зафиксирован сигнальный порт станции. Адрес и порт клиента "живут" только в течении времени регистрации и периодически обновляются. Или ты что-то другое имеешь в виду??

[Dron]

Я так понимаю, что имелся в виду SIP Signalling port (5060) в станции. Провайдер ничего менять не будет и не должен. При регистрации у провайдера автоматически будет зафиксирован сигнальный порт станции. Адрес и порт клиента "живут" только в течении времени регистрации и периодически обновляются. Или ты что-то другое имеешь в виду??

Ну да. И я про то же. Не будет провайдер ничего менять, естественно...

[foxyfive]

Попробую вариант со сменой 80 порта. Потом отпишусь

[harris]

Посмотрите лог HTTP в станции. Может, кому-то из сотрудников вашего офиса удается подобрать ваш пароль на вход в Wed-Admin станции. Там можно увидеть IP адреса, с которых заходили в станцию в Web-Admin.
См. System Management\Trace\HTTP Log View.
Т.е. проверите, не заходил ли кто-то в станцию с чужого (не с вашего) компа. Ну, и если это вдруг подтвердится, то далее вычисляйте, чей это комп.

[vldmr]

Для борьбы с несанкционированным доступом в станцию можно использовать Access Control List(255).
PS: пользоваться аккуратно, т к можете сами себе полностью перекрыть доступ.

[Dron]

.. т к можете сами себе полностью перекрыть доступ.

Было такое.
Зато, точно можно быть уверенным, что по web никакой утечки...