Грачов Posted February 23, 2019 · Report post Доброе времени суток коллеги Проблема такова установили АТС через 2 дня левые звонки международные, проверил с левого ип адреса идет запрос, и мои атс начел абрабатывать, каким то образом запрос дошел до атс, каким образом предотвратить это??? я так понимаю надо прописать правила что на ип адрес атс с портом 5060 шли пакеты только с определенных ип адресов остальных блoкировать но где это прописать в нанте?? или в фаерволе??? возможно ли это??? и как это сделать??? заранее блогадарен!!!!!!!!! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted February 23, 2019 · Report post Что за АТС? Как она подключена к интернету? На реальных ip или за NAT? и т.п. вопросов множество. Вы ничего про это не написали. 7 часов назад, Грачов сказал: надо прописать правила что на ип адрес атс с портом 5060 шли пакеты только с определенных ип адресов остальных блoкировать Можно и так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Грачов Posted February 24, 2019 · Report post On 2/23/2019 at 1:42 AM, Andrei said: Что за АТС? Как она подключена к интернету? На реальных ip или за NAT? и т.п. вопросов множество. Вы ничего про это не написали. Можно и так. проблема в том что требуется еще чтобы установилось приложение на мобильном телефоне чтоб через интернет звонить по этому такое правило не сработает у мобильников в 3г не статический ип. есть ли другие варианты решение Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
spakum Posted February 25, 2019 · Report post 9 hours ago, Грачов said: проблема в том что требуется еще чтобы установилось приложение на мобильном телефоне чтоб через интернет звонить по этому такое правило не сработает у мобильников в 3г не статический ип. есть ли другие варианты решение SBC Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 25, 2019 · Report post 12 часов назад, Грачов сказал: есть ли другие варианты решение Значит с телефонов поднимается VPN. Чудес не бывает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 25, 2019 · Report post 1 час назад, jffulcrum сказал: Значит с телефонов поднимается VPN. Чудес не бывает. за излишнее использование VPN админов надо бить по рукам, пока они маленькие. Открою элементарнейший live hack. Чтоб у вас работал SIP клиент с мобильного, достаточно прописать его useragent в L7 файрволл разрешающим правилом . И всё. какой нахрен vpn с мобильного, вы там в конец упоролись что ли? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 25, 2019 · Report post Только что, LostSoul сказал: достаточно прописать его useragent в L7 файрволл разрешающим правилом Надеюсь, часть про предварительно поменять этот useragent в мобильном приложении с дефолтного потерялась неумышленно в этом предложении. @Грачов Для начала в конфиге раскомментируйте строку security => security , будет создаваться отдельный лог security, в нём смотрите, что именно происходит. Вариантов много: 1. Не выключен Guest (allowguest=yes) в конфиге. 2. Не выключены демо аккаунты, demo 3. У какого-то аккаунта простой пароль, типа 123, и его подобрали - будет сразу несколько сессий на аккаунт с разных IP. 4. Включена DISA (при отсутствии стыка с традиционной телефонией) - в логе будут события с признаком DISA Решив эти проблемы, можно будет рыть дальше - пользуются ли уязвимостью или сниффят трафик где-то на пути. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 25, 2019 · Report post 1 минуту назад, jffulcrum сказал: Надеюсь, часть про предварительно поменять этот useragent в мобильном приложении с дефолтного потерялась неумышленно в этом предложении. не надо там ничего менять. попробуй угадай юзерагент в моем телефоне :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Грачов Posted February 25, 2019 · Report post так как мои провайдер не предоставляет двух стороную аутентификацию а лишь только на исходящие от АТС , то АТС обрабатывал все что приходило по дефолт порту 5060, на тот момент был недорашет безопасности.вернемся к другой проблеме коллеги, было предложено поднять VPN на мобильных телефонах, я с этим не согласен так как придется поднять VPN на ANDROID на I OS на WINDSOWS что на практике шифрование всей этой рутины по одному каналу не работает. так как кроме телефонов надо будет интегрировать SKYPE FOR BUSINESS а это без SBC не будет работать то было принито решение вваливать на него и мобильные телефоны если это возможно?.и так теперь у нас есть такая структура был создан VPN туннель между заказчиком и SIP провайдером таким оброзом изолировали АТС от интернета и решили установить SBC. Tеперь пару вопросов коллеги. 1. с помощью SBC можно поднять защиту на мобильных телефонов которые будут регистрированы как внутренние но будут доступны по интернету ??? 2. будет ли возможность у SBC параллельно регулировать и защищать мобильные телефоны и выполнять свою функцию для SKYPE FOR BUSINESS (лицензия на 30 сессии )??? 3.если да то как настроить SBC модель (M800B-ESBC/R) ??? имел ли кто опыт работы с этой моделью спасибо за помощь и содействие за ранее Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 25, 2019 · Report post Софт и железки AudioCodes хорошие, но в любом случае требуют хорошего знания протоколов и четкого понимания конечной цели. Ознакомьтесь с примерами и оцените готовность к самостоятельному внедрению. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...