Безопасность для SIP |
Здравствуйте, гость ( Вход | Регистрация )
Безопасность для SIP |
21.6.2011, 17:01
Сообщение
#1
|
|
Ветеран форума Группа: Участники Сообщений: 353 Регистрация: 27.2.2009 Из: Москва Пользователь №: 12941 |
Телефонный провайдер выдал внешний IP для соединения с их шлюзом. Соединение заработало, но гложут меня смутные сомнения, что к станцию могу взломать из интернета и попользоваться международной связью за наш счет. Либо устроить атаку типа DDOS. По идее, нужно бы firewall перед ней ставить, но не хочется дополнительное устройство использовать. Может в MG-100 есть встроенный firewall, в котором можно прописать разрешение на соединение по SIP только с определенного ip? Мои изыскания в этом вопросе ответа, к сожалению, не принесли. Обращаюсь за советом к гуру.
|
|
|
21.6.2011, 20:21
Сообщение
#2
|
|
Ветеран форума Группа: Участники Сообщений: 2500 Регистрация: 6.3.2008 Из: Кишинёв Пользователь №: 9703 |
Телефонный провайдер выдал внешний IP для соединения с их шлюзом. Соединение заработало, но гложут меня смутные сомнения, что к станцию могу взломать из интернета и попользоваться международной связью за наш счет. Либо устроить атаку типа DDOS. По идее, нужно бы firewall перед ней ставить, но не хочется дополнительное устройство использовать. Может в MG-100 есть встроенный firewall, в котором можно прописать разрешение на соединение по SIP только с определенного ip? Мои изыскания в этом вопросе ответа, к сожалению, не принесли. Обращаюсь за советом к гуру. по моему по настройкам "входящей" Вы должны прописывать и номер СО-группы и ip-адрес, с которого к Вам приходит вызов. другое дело какова безопасность у Вашего провайдера? |
|
|
23.6.2011, 17:13
Сообщение
#3
|
|
Ветеран форума Группа: Участники Сообщений: 353 Регистрация: 27.2.2009 Из: Москва Пользователь №: 12941 |
С городскими (провайдерскими) линиями проблем нет: там соединение точка-точка. А вот клиентские SIP-телефоны обеспечиваются безопасностью исключительно на уровне имя-пароль. Но пароли, иногда, вскрываются... Есть негативный опыт на 400 тыс. рублей.
|
|
|
24.6.2011, 8:21
Сообщение
#4
|
|
ГУРУ Группа: Участники Сообщений: 12388 Регистрация: 23.11.2006 Из: Москва Пользователь №: 146 |
С городскими (провайдерскими) линиями проблем нет: там соединение точка-точка. А вот клиентские SIP-телефоны обеспечиваются безопасностью исключительно на уровне имя-пароль. Но пароли, иногда, вскрываются... Есть негативный опыт на 400 тыс. рублей. И что Вы бы в этом случае хотели?? Фиксировать для каждого пользователя (для каждого логина) его IP-адрес и разрешать регистрацию только с указанного адреса?? -------------------- Аксиома Коула: Общая сумма разума на планете - величина постоянная, а население растет ...
|
|
|
24.6.2011, 8:46
Сообщение
#5
|
|
Ветеран форума Группа: Участники Сообщений: 353 Регистрация: 27.2.2009 Из: Москва Пользователь №: 12941 |
И что Вы бы в этом случае хотели?? Фиксировать для каждого пользователя (для каждого логина) его IP-адрес и разрешать регистрацию только с указанного адреса?? Да, именно так. Например, пускать SIP-клиентов только из внутренней сети, а так как интерфейс MPB занимается всем SIP-ом (даже при наличии плат VOIB), то я вынужден там настроить внешний IP, чтобы получать городские линии. То есть, в станции нет никакой встроенной безопасности и ее выпускать в открытый интернет имеет смысл только через firewall?
|
|
|
24.6.2011, 8:46
Сообщение
#6
|
|
ГУРУ Группа: Модераторы Сообщений: 15007 Регистрация: 19.6.2009 Из: г. Тула Пользователь №: 13420 |
Я хотел только узнать возможности станции. То есть, в станции нет никакой встроенной безопасности и ее выпускать в открытый интернет имеет смысл только через firewall? В общем то, ДА! -------------------- Вот смотрю я на вас и думаю: ещё выпить, или вы мне уже нравитесь? Анекдот
|
|
|
24.6.2011, 19:51
Сообщение
#7
|
|
Ветеран форума Группа: Участники Сообщений: 2500 Регистрация: 6.3.2008 Из: Кишинёв Пользователь №: 9703 |
Да, именно так. Например, пускать SIP-клиентов только из внутренней сети, а так как интерфейс MPB занимается всем SIP-ом (даже при наличии плат VOIB), то я вынужден там настроить внешний IP, чтобы получать городские линии. То есть, в станции нет никакой встроенной безопасности и ее выпускать в открытый интернет имеет смысл только через firewall? а если аб-ту разрешить принимать звонки лишь по ipecs, т.е. типа DID Restrict |
|
|
26.6.2011, 22:58
Сообщение
#8
|
|
Продвинутый пользователь Группа: Участники Сообщений: 276 Регистрация: 28.1.2007 Пользователь №: 613 |
Может в MG-100 есть встроенный firewall, в котором можно прописать разрешение на соединение по SIP только с определенного ip? Что то типа этого?
Прикрепленные файлы
|
|
|
27.6.2011, 5:56
Сообщение
#9
|
|
Ветеран форума Группа: Участники Сообщений: 353 Регистрация: 27.2.2009 Из: Москва Пользователь №: 12941 |
Да, именно. Но у меня такого нет на прошивке 1.7Ai
|
|
|
27.6.2011, 7:55
Сообщение
#10
|
|
ГУРУ Группа: Модераторы Сообщений: 15007 Регистрация: 19.6.2009 Из: г. Тула Пользователь №: 13420 |
Да, именно. Но у меня такого нет на прошивке 1.7Ai Все правильно, это скрин от iPECS-LIC... -------------------- Вот смотрю я на вас и думаю: ещё выпить, или вы мне уже нравитесь? Анекдот
|
|
|
24.9.2019, 3:08
Сообщение
#11
|
|
Продвинутый пользователь Группа: Участники Сообщений: 103 Регистрация: 7.2.2011 Пользователь №: 15475 |
Всем привет!
Имеется: iPECS-MG/GS55M-2.1Ac DEC/12 Boot Version-1.1Ab AUG/11 OS Version-1.1Ab AUG/11 АТС выкинута в сеть и висит на "белом" IP Пароли суперсложные. Есть на ней 2 sip абонента. И один LIP-7024D Они всегда в режиме: Idle И вот настал момент, когда нас взломали. Вскрыли оба sip аккаунта и LIP-7024D со всеми вытекающими. Собственно вопрос: как злоумышленнику удалось авторизоваться если наши оконечные устройства уже авторизованы и имеют статус ldle? Или все происходит по по-другому сценарию? В качестве sip клиента у меня на iPhone приложение acrobits. Второй sip абонент это удалённая iPECS eMG80. Ну а третий удалённый абонент это LIP-7024D. Несанкционированные звонки были совершены со всех трёх. Смена паролей на учётных записях sip не помогает. Пока закрыл доступ к внешним СЛ. Но думаю это не на долго. Вскроют и вебморду. Поставят галки там где нужно. Что скажете судьи? Где дырка? |
|
|
24.9.2019, 9:55
Сообщение
#12
|
|
ГУРУ Группа: Модераторы Сообщений: 15007 Регистрация: 19.6.2009 Из: г. Тула Пользователь №: 13420 |
Всем привет! Имеется: iPECS-MG/GS55M-2.1Ac DEC/12 Boot Version-1.1Ab AUG/11 OS Version-1.1Ab AUG/11 АТС выкинута в сеть и висит на "белом" IP Пароли суперсложные. Есть на ней 2 sip абонента. И один LIP-7024D Они всегда в режиме: Idle И вот настал момент, когда нас взломали. Вскрыли оба sip аккаунта и LIP-7024D со всеми вытекающими. Собственно вопрос: как злоумышленнику удалось авторизоваться если наши оконечные устройства уже авторизованы и имеют статус ldle? Или все происходит по по-другому сценарию? В качестве sip клиента у меня на iPhone приложение acrobits. Второй sip абонент это удалённая iPECS eMG80. Ну а третий удалённый абонент это LIP-7024D. Несанкционированные звонки были совершены со всех трёх. Смена паролей на учётных записях sip не помогает. Пока закрыл доступ к внешним СЛ. Но думаю это не на долго. Вскроют и вебморду. Поставят галки там где нужно. Что скажете судьи? Где дырка? Сомнительно, что LIP-7024D взломали, он по фирменному протоколу работает. Я, во всяком случае, о таких случаях не слышал. По поводу SIP. Поменяйте порт 5060, на какой-нибудь другой. 5060 постоянно бомбят. И, в SIP Station Service(382) включено 407 Authentication? -------------------- Вот смотрю я на вас и думаю: ещё выпить, или вы мне уже нравитесь? Анекдот
|
|
|
Текстовая версия | Сейчас: 27.4.2024, 19:39 |