ARTCOM LOGO

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в данную темуНачать новую тему
> Безопасность для SIP
ADv
сообщение 21.6.2011, 17:01
Сообщение #1


Ветеран форума
*****

Группа: Участники
Сообщений: 353
Регистрация: 27.2.2009
Из: Москва
Пользователь №: 12941



Телефонный провайдер выдал внешний IP для соединения с их шлюзом. Соединение заработало, но гложут меня смутные сомнения, что к станцию могу взломать из интернета и попользоваться международной связью за наш счет. Либо устроить атаку типа DDOS. По идее, нужно бы firewall перед ней ставить, но не хочется дополнительное устройство использовать. Может в MG-100 есть встроенный firewall, в котором можно прописать разрешение на соединение по SIP только с определенного ip? Мои изыскания в этом вопросе ответа, к сожалению, не принесли. Обращаюсь за советом к гуру.
Перейти в начало страницы
 
+Цитировать сообщение
vitalii
сообщение 21.6.2011, 20:21
Сообщение #2


Ветеран форума
*****

Группа: Участники
Сообщений: 2500
Регистрация: 6.3.2008
Из: Кишинёв
Пользователь №: 9703



Цитата(ADv @ 21.6.2011, 17:01) *
Телефонный провайдер выдал внешний IP для соединения с их шлюзом. Соединение заработало, но гложут меня смутные сомнения, что к станцию могу взломать из интернета и попользоваться международной связью за наш счет. Либо устроить атаку типа DDOS. По идее, нужно бы firewall перед ней ставить, но не хочется дополнительное устройство использовать. Может в MG-100 есть встроенный firewall, в котором можно прописать разрешение на соединение по SIP только с определенного ip? Мои изыскания в этом вопросе ответа, к сожалению, не принесли. Обращаюсь за советом к гуру.

по моему по настройкам "входящей" Вы должны прописывать и номер СО-группы и ip-адрес, с которого к Вам приходит вызов. другое дело какова безопасность у Вашего провайдера?
Перейти в начало страницы
 
+Цитировать сообщение
ADv
сообщение 23.6.2011, 17:13
Сообщение #3


Ветеран форума
*****

Группа: Участники
Сообщений: 353
Регистрация: 27.2.2009
Из: Москва
Пользователь №: 12941



С городскими (провайдерскими) линиями проблем нет: там соединение точка-точка. А вот клиентские SIP-телефоны обеспечиваются безопасностью исключительно на уровне имя-пароль. Но пароли, иногда, вскрываются... Есть негативный опыт на 400 тыс. рублей.
Перейти в начало страницы
 
+Цитировать сообщение
harris
сообщение 24.6.2011, 8:21
Сообщение #4


ГУРУ
********

Группа: Участники
Сообщений: 12388
Регистрация: 23.11.2006
Из: Москва
Пользователь №: 146



Цитата(ADv @ 23.6.2011, 18:13) *
С городскими (провайдерскими) линиями проблем нет: там соединение точка-точка. А вот клиентские SIP-телефоны обеспечиваются безопасностью исключительно на уровне имя-пароль. Но пароли, иногда, вскрываются... Есть негативный опыт на 400 тыс. рублей.

И что Вы бы в этом случае хотели?? Фиксировать для каждого пользователя (для каждого логина) его IP-адрес и разрешать регистрацию только с указанного адреса??


--------------------
Аксиома Коула: Общая сумма разума на планете - величина постоянная, а население растет ...
Перейти в начало страницы
 
+Цитировать сообщение
ADv
сообщение 24.6.2011, 8:46
Сообщение #5


Ветеран форума
*****

Группа: Участники
Сообщений: 353
Регистрация: 27.2.2009
Из: Москва
Пользователь №: 12941



Цитата(harris @ 24.6.2011, 9:21) *
И что Вы бы в этом случае хотели?? Фиксировать для каждого пользователя (для каждого логина) его IP-адрес и разрешать регистрацию только с указанного адреса??
Да, именно так. Например, пускать SIP-клиентов только из внутренней сети, а так как интерфейс MPB занимается всем SIP-ом (даже при наличии плат VOIB), то я вынужден там настроить внешний IP, чтобы получать городские линии. То есть, в станции нет никакой встроенной безопасности и ее выпускать в открытый интернет имеет смысл только через firewall?
Перейти в начало страницы
 
+Цитировать сообщение
Dron
сообщение 24.6.2011, 8:46
Сообщение #6


ГУРУ
********

Группа: Модераторы
Сообщений: 15006
Регистрация: 19.6.2009
Из: г. Тула
Пользователь №: 13420



Цитата(ADv @ 24.6.2011, 9:46) *
Я хотел только узнать возможности станции. То есть, в станции нет никакой встроенной безопасности и ее выпускать в открытый интернет имеет смысл только через firewall?

В общем то, ДА!


--------------------
Вот смотрю я на вас и думаю: ещё выпить, или вы мне уже нравитесь? Анекдот
Перейти в начало страницы
 
+Цитировать сообщение
vitalii
сообщение 24.6.2011, 19:51
Сообщение #7


Ветеран форума
*****

Группа: Участники
Сообщений: 2500
Регистрация: 6.3.2008
Из: Кишинёв
Пользователь №: 9703



Цитата(ADv @ 24.6.2011, 8:46) *
Да, именно так. Например, пускать SIP-клиентов только из внутренней сети, а так как интерфейс MPB занимается всем SIP-ом (даже при наличии плат VOIB), то я вынужден там настроить внешний IP, чтобы получать городские линии. То есть, в станции нет никакой встроенной безопасности и ее выпускать в открытый интернет имеет смысл только через firewall?

а если аб-ту разрешить принимать звонки лишь по ipecs, т.е. типа DID Restrict
Перейти в начало страницы
 
+Цитировать сообщение
ALLeX
сообщение 26.6.2011, 22:58
Сообщение #8


Продвинутый пользователь
****

Группа: Участники
Сообщений: 276
Регистрация: 28.1.2007
Пользователь №: 613



Цитата(ADv @ 21.6.2011, 17:01) *
Может в MG-100 есть встроенный firewall, в котором можно прописать разрешение на соединение по SIP только с определенного ip?

Что то типа этого?
Прикрепленные файлы
Прикрепленный файл  acl.png ( 35,24 килобайт ) Кол-во скачиваний: 100
 
Перейти в начало страницы
 
+Цитировать сообщение
ADv
сообщение 27.6.2011, 5:56
Сообщение #9


Ветеран форума
*****

Группа: Участники
Сообщений: 353
Регистрация: 27.2.2009
Из: Москва
Пользователь №: 12941



Да, именно. Но у меня такого нет на прошивке 1.7Ai dntknw.gif
Перейти в начало страницы
 
+Цитировать сообщение
Dron
сообщение 27.6.2011, 7:55
Сообщение #10


ГУРУ
********

Группа: Модераторы
Сообщений: 15006
Регистрация: 19.6.2009
Из: г. Тула
Пользователь №: 13420



Цитата(ADv @ 27.6.2011, 6:56) *
Да, именно. Но у меня такого нет на прошивке 1.7Ai dntknw.gif

Все правильно, это скрин от iPECS-LIC...


--------------------
Вот смотрю я на вас и думаю: ещё выпить, или вы мне уже нравитесь? Анекдот
Перейти в начало страницы
 
+Цитировать сообщение
Michail
сообщение 24.9.2019, 3:08
Сообщение #11


Продвинутый пользователь
****

Группа: Участники
Сообщений: 103
Регистрация: 7.2.2011
Пользователь №: 15475



Всем привет!
Имеется:
iPECS-MG/GS55M-2.1Ac DEC/12
Boot Version-1.1Ab AUG/11
OS Version-1.1Ab AUG/11
АТС выкинута в сеть и висит на "белом" IP
Пароли суперсложные.
Есть на ней 2 sip абонента. И один LIP-7024D Они всегда в режиме: Idle
И вот настал момент, когда нас взломали.
Вскрыли оба sip аккаунта и LIP-7024D со всеми вытекающими.
Собственно вопрос: как злоумышленнику удалось авторизоваться если наши оконечные устройства уже авторизованы и имеют статус ldle? Или все происходит по по-другому сценарию?
В качестве sip клиента у меня на iPhone приложение acrobits. Второй sip абонент это удалённая iPECS eMG80. Ну а третий удалённый абонент это LIP-7024D. Несанкционированные звонки были совершены со всех трёх.
Смена паролей на учётных записях sip не помогает.
Пока закрыл доступ к внешним СЛ. Но думаю это не на долго. Вскроют и вебморду. Поставят галки там где нужно.
Что скажете судьи? Где дырка?
Перейти в начало страницы
 
+Цитировать сообщение
Dron
сообщение 24.9.2019, 9:55
Сообщение #12


ГУРУ
********

Группа: Модераторы
Сообщений: 15006
Регистрация: 19.6.2009
Из: г. Тула
Пользователь №: 13420



Цитата(Michail @ 24.9.2019, 3:08) *
Всем привет!
Имеется:
iPECS-MG/GS55M-2.1Ac DEC/12
Boot Version-1.1Ab AUG/11
OS Version-1.1Ab AUG/11
АТС выкинута в сеть и висит на "белом" IP
Пароли суперсложные.
Есть на ней 2 sip абонента. И один LIP-7024D Они всегда в режиме: Idle
И вот настал момент, когда нас взломали.
Вскрыли оба sip аккаунта и LIP-7024D со всеми вытекающими.
Собственно вопрос: как злоумышленнику удалось авторизоваться если наши оконечные устройства уже авторизованы и имеют статус ldle? Или все происходит по по-другому сценарию?
В качестве sip клиента у меня на iPhone приложение acrobits. Второй sip абонент это удалённая iPECS eMG80. Ну а третий удалённый абонент это LIP-7024D. Несанкционированные звонки были совершены со всех трёх.
Смена паролей на учётных записях sip не помогает.
Пока закрыл доступ к внешним СЛ. Но думаю это не на долго. Вскроют и вебморду. Поставят галки там где нужно.
Что скажете судьи? Где дырка?

Сомнительно, что LIP-7024D взломали, он по фирменному протоколу работает. Я, во всяком случае, о таких случаях не слышал.
По поводу SIP. Поменяйте порт 5060, на какой-нибудь другой. 5060 постоянно бомбят. И, в SIP Station Service(382) включено 407 Authentication?


--------------------
Вот смотрю я на вас и думаю: ещё выпить, или вы мне уже нравитесь? Анекдот
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 28.3.2024, 20:43