Версия для печати темы
АРТКОМ Форум _ Техническая поддержка iPECS-MG & iPECS-eMG800 _ Безопасность для SIP
Автор: ADv 21.6.2011, 17:01
Телефонный провайдер выдал внешний IP для соединения с их шлюзом. Соединение заработало, но гложут меня смутные сомнения, что к станцию могу взломать из интернета и попользоваться международной связью за наш счет. Либо устроить атаку типа DDOS. По идее, нужно бы firewall перед ней ставить, но не хочется дополнительное устройство использовать. Может в MG-100 есть встроенный firewall, в котором можно прописать разрешение на соединение по SIP только с определенного ip? Мои изыскания в этом вопросе ответа, к сожалению, не принесли. Обращаюсь за советом к гуру.
Автор: vitalii 21.6.2011, 20:21
Цитата(ADv @ 21.6.2011, 17:01)
Телефонный провайдер выдал внешний IP для соединения с их шлюзом. Соединение заработало, но гложут меня смутные сомнения, что к станцию могу взломать из интернета и попользоваться международной связью за наш счет. Либо устроить атаку типа DDOS. По идее, нужно бы firewall перед ней ставить, но не хочется дополнительное устройство использовать. Может в MG-100 есть встроенный firewall, в котором можно прописать разрешение на соединение по SIP только с определенного ip? Мои изыскания в этом вопросе ответа, к сожалению, не принесли. Обращаюсь за советом к гуру.
по моему по настройкам "входящей" Вы должны прописывать и номер СО-группы и ip-адрес, с которого к Вам приходит вызов. другое дело какова безопасность у Вашего провайдера?
Автор: ADv 23.6.2011, 17:13
С городскими (провайдерскими) линиями проблем нет: там соединение точка-точка. А вот клиентские SIP-телефоны обеспечиваются безопасностью исключительно на уровне имя-пароль. Но пароли, иногда, вскрываются... Есть негативный опыт на 400 тыс. рублей.
Автор: harris 24.6.2011, 8:21
Цитата(ADv @ 23.6.2011, 18:13)
С городскими (провайдерскими) линиями проблем нет: там соединение точка-точка. А вот клиентские SIP-телефоны обеспечиваются безопасностью исключительно на уровне имя-пароль. Но пароли, иногда, вскрываются... Есть негативный опыт на 400 тыс. рублей.
И что Вы бы в этом случае хотели?? Фиксировать для каждого пользователя (для каждого логина) его IP-адрес и разрешать регистрацию только с указанного адреса??
Автор: ADv 24.6.2011, 8:46
Цитата(harris @ 24.6.2011, 9:21)
И что Вы бы в этом случае хотели?? Фиксировать для каждого пользователя (для каждого логина) его IP-адрес и разрешать регистрацию только с указанного адреса??
Да, именно так. Например, пускать SIP-клиентов только из внутренней сети, а так как интерфейс MPB занимается всем SIP-ом (даже при наличии плат VOIB), то я вынужден там настроить внешний IP, чтобы получать городские линии. То есть, в станции нет никакой встроенной безопасности и ее выпускать в открытый интернет имеет смысл только через firewall?
Автор: Dron 24.6.2011, 8:46
Цитата(ADv @ 24.6.2011, 9:46)
Я хотел только узнать возможности станции. То есть, в станции нет никакой встроенной безопасности и ее выпускать в открытый интернет имеет смысл только через firewall?
В общем то, ДА!
Автор: vitalii 24.6.2011, 19:51
Цитата(ADv @ 24.6.2011, 8:46)
Да, именно так. Например, пускать SIP-клиентов только из внутренней сети, а так как интерфейс MPB занимается всем SIP-ом (даже при наличии плат VOIB), то я вынужден там настроить внешний IP, чтобы получать городские линии. То есть, в станции нет никакой встроенной безопасности и ее выпускать в открытый интернет имеет смысл только через firewall?
а если аб-ту разрешить принимать звонки лишь по ipecs, т.е. типа DID Restrict
Автор: ALLeX 26.6.2011, 22:58
Цитата(ADv @ 21.6.2011, 17:01)
Может в MG-100 есть встроенный firewall, в котором можно прописать разрешение на соединение по SIP только с определенного ip?
Что то типа этого?
Автор: ADv 27.6.2011, 5:56
Да, именно. Но у меня такого нет на прошивке 1.7Ai
Автор: Dron 27.6.2011, 7:55
Цитата(ADv @ 27.6.2011, 6:56)
Да, именно. Но у меня такого нет на прошивке 1.7Ai
Все правильно, это скрин от iPECS-LIC...
Автор: Michail 24.9.2019, 3:08
Всем привет!
Имеется:
iPECS-MG/GS55M-2.1Ac DEC/12
Boot Version-1.1Ab AUG/11
OS Version-1.1Ab AUG/11
АТС выкинута в сеть и висит на "белом" IP
Пароли суперсложные.
Есть на ней 2 sip абонента. И один LIP-7024D Они всегда в режиме: Idle
И вот настал момент, когда нас взломали.
Вскрыли оба sip аккаунта и LIP-7024D со всеми вытекающими.
Собственно вопрос: как злоумышленнику удалось авторизоваться если наши оконечные устройства уже авторизованы и имеют статус ldle? Или все происходит по по-другому сценарию?
В качестве sip клиента у меня на iPhone приложение acrobits. Второй sip абонент это удалённая iPECS eMG80. Ну а третий удалённый абонент это LIP-7024D. Несанкционированные звонки были совершены со всех трёх.
Смена паролей на учётных записях sip не помогает.
Пока закрыл доступ к внешним СЛ. Но думаю это не на долго. Вскроют и вебморду. Поставят галки там где нужно.
Что скажете судьи? Где дырка?
Автор: Dron 24.9.2019, 9:55
Цитата(Michail @ 24.9.2019, 3:08)
Всем привет!
Имеется:
iPECS-MG/GS55M-2.1Ac DEC/12
Boot Version-1.1Ab AUG/11
OS Version-1.1Ab AUG/11
АТС выкинута в сеть и висит на "белом" IP
Пароли суперсложные.
Есть на ней 2 sip абонента. И один LIP-7024D Они всегда в режиме: Idle
И вот настал момент, когда нас взломали.
Вскрыли оба sip аккаунта и LIP-7024D со всеми вытекающими.
Собственно вопрос: как злоумышленнику удалось авторизоваться если наши оконечные устройства уже авторизованы и имеют статус ldle? Или все происходит по по-другому сценарию?
В качестве sip клиента у меня на iPhone приложение acrobits. Второй sip абонент это удалённая iPECS eMG80. Ну а третий удалённый абонент это LIP-7024D. Несанкционированные звонки были совершены со всех трёх.
Смена паролей на учётных записях sip не помогает.
Пока закрыл доступ к внешним СЛ. Но думаю это не на долго. Вскроют и вебморду. Поставят галки там где нужно.
Что скажете судьи? Где дырка?
Сомнительно, что LIP-7024D взломали, он по фирменному протоколу работает. Я, во всяком случае, о таких случаях не слышал.
По поводу SIP. Поменяйте порт 5060, на какой-нибудь другой. 5060 постоянно бомбят. И, в SIP Station Service(382) включено 407 Authentication?
Русская версия Invision Power Board (http://nulled.ws)
© Invision Power Services (http://nulled.ws)