Jump to content
Калькуляторы

Ломают VoIP шлюзы Телефония на Cisco

С августа месяца начались регулярные атаки на шлюзы Cisco с поднятым голосовым сервисом.

Как закрыться? Есть связь с внешними SIP провайдерами.

Share this post


Link to post
Share on other sites

Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет

Share this post


Link to post
Share on other sites
Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет

Я бы для начала пароль сделал нормальный, символов эдак в 20..

Share this post


Link to post
Share on other sites

Получается ITS через SIP ходит?

Share this post


Link to post
Share on other sites

Пользуйтесь ACL.

Так и поступил, но кроме 1720, 2000, 5060 что ещё необходимо закрыть?

 

Какие модели?

Атаки заканчивались успешно?

1760, 3725, 3745

Да тут по всему инету сообщения разбросаны, я так, немножко попал,

а у народа на вон есть и на сотни кабаксов проломы.

 

Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет

Я бы для начала пароль сделал нормальный, символов эдак в 20..

Какой пароль 12IOS не умеет авторизовывать SIP клиентов.

Edited by sunrise333

Share this post


Link to post
Share on other sites

Простите но надо быть на всю голову отбитым шизофреником чтобы выставлять в паблик сервис за который плотются деньги без авторизации. Вы еще замок в хате своей снимите, и табличку повесьте "заходите гости дорогие".

 

Как выше ораторы высказались ACL пишите. Либо в DMZ сервис свой загораживайте и средствами DMZ огораживайтесь. Либо прокси колхозьте с авторизацией.

Share this post


Link to post
Share on other sites

ACL'ями лучше, чем паролями. Ибо с ACL'ями на их сообщения ответов никаких не прилетит, а с паролями ваше железо будет отвечать, что какбэ намекает на возможность перебора.

 

Кстати, есть не только технические, но и административные меры. Например, в договоре прописать, что в случае ухода в минус телефония перестаёт работать.

Share this post


Link to post
Share on other sites

ACL'ями лучше, чем паролями. Ибо с ACL'ями на их сообщения ответов никаких не прилетит, а с паролями ваше железо будет отвечать, что какбэ намекает на возможность перебора.

 

Кстати, есть не только технические, но и административные меры. Например, в договоре прописать, что в случае ухода в минус телефония перестаёт работать.

Уважаемый, Ваши советы по CCME пока что явлвлись крайне ценными. Вот я и спаршиваю что ещё кроме 1720, 2000, 5060 необходимо закрыть?

А за совет по поводу адм мер спасибо нужно подумать, с провом посоветоваться.

 

Простите но надо быть на всю голову отбитым шизофреником чтобы выставлять в паблик сервис за который плотются деньги без авторизации. Вы еще замок в хате своей снимите, и табличку повесьте "заходите гости дорогие".

 

Как выше ораторы высказались ACL пишите. Либо в DMZ сервис свой загораживайте и средствами DMZ огораживайтесь. Либо прокси колхозьте с авторизацией.

И таких шизофреников в достатке занаете ли. Cisco даже с выключенным голосовым сервисом слушает 5060 и 1720 порты. Это нормально?

Share this post


Link to post
Share on other sites

1. Можно ещё закрыть 1719, Web, Telnet, SSH.

 

2. У них dial-peer 0 по умолчанию отрабатывает, если под другие вызов не попадает. Кстати, в каком таком месте вы отключаете голосовой сервис?

Share this post


Link to post
Share on other sites

1. Можно ещё закрыть 1719, Web, Telnet, SSH.

 

2. У них dial-peer 0 по умолчанию отрабатывает, если под другие вызов не попадает. Кстати, в каком таком месте вы отключаете голосовой сервис?

Спасибо, ну no ip http server и no ip http secure-server вроде как сразу же или лучше ACLами закрыть?

Вроде бы так

voice service voip

shutdown

а есди SSH закрыть то как рулить?

Edited by sunrise333

Share this post


Link to post
Share on other sites

Никак не рулить. )

Если надо, то открывайте ssh. Если знаете, с каких адресов будете ходить, ставьте ACL на доступ. Если не знаете, можете попробовать VPN какой настроить внутрь (IPSec или ещё чего; хоть RDP).

Но это больше уже к паранойе относится. )

 

Кстати, если провайдер телефонии и онторнета совпадает, то пусть вам отдельную подсеть под эту телефонию выделят.

Share this post


Link to post
Share on other sites

Никак не рулить. )

Если надо, то открывайте ssh. Если знаете, с каких адресов будете ходить, ставьте ACL на доступ. Если не знаете, можете попробовать VPN какой настроить внутрь (IPSec или ещё чего; хоть RDP).

Но это больше уже к паранойе относится. )

 

Кстати, если провайдер телефонии и онторнета совпадает, то пусть вам отдельную подсеть под эту телефонию выделят.

Да не, телефония предприятия все по DMVPN идет. В центре VoIP шлюз за натом, а удаленные узлы

все в одном, вот и возникли траблы. Но за консультацию спасибо. Поживем увидим действенность данной методы.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this