Jump to content

Ломают VoIP шлюзы

sunrise333
 Share

Recommended Posts

sunrise333

sunrise333

Posted
Posted

С августа месяца начались регулярные атаки на шлюзы Cisco с поднятым голосовым сервисом.

Как закрыться? Есть связь с внешними SIP провайдерами.

Aleck_K

Aleck_K

Posted
Posted

Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет

altnetwork.ru

altnetwork.ru

Posted
Posted
Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет

Я бы для начала пароль сделал нормальный, символов эдак в 20..

sunrise333

sunrise333

Posted
  • Author
Posted (edited)

Пользуйтесь ACL.

Так и поступил, но кроме 1720, 2000, 5060 что ещё необходимо закрыть?

 

Какие модели?

Атаки заканчивались успешно?

1760, 3725, 3745

Да тут по всему инету сообщения разбросаны, я так, немножко попал,

а у народа на вон есть и на сотни кабаксов проломы.

 

Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет

Я бы для начала пароль сделал нормальный, символов эдак в 20..

Какой пароль 12IOS не умеет авторизовывать SIP клиентов.

Edited by sunrise333
ram_scan

ram_scan

Posted
Posted

Простите но надо быть на всю голову отбитым шизофреником чтобы выставлять в паблик сервис за который плотются деньги без авторизации. Вы еще замок в хате своей снимите, и табличку повесьте "заходите гости дорогие".

 

Как выше ораторы высказались ACL пишите. Либо в DMZ сервис свой загораживайте и средствами DMZ огораживайтесь. Либо прокси колхозьте с авторизацией.

leveler

leveler

Posted
Posted

ACL'ями лучше, чем паролями. Ибо с ACL'ями на их сообщения ответов никаких не прилетит, а с паролями ваше железо будет отвечать, что какбэ намекает на возможность перебора.

 

Кстати, есть не только технические, но и административные меры. Например, в договоре прописать, что в случае ухода в минус телефония перестаёт работать.

sunrise333

sunrise333

Posted
  • Author
Posted

ACL'ями лучше, чем паролями. Ибо с ACL'ями на их сообщения ответов никаких не прилетит, а с паролями ваше железо будет отвечать, что какбэ намекает на возможность перебора.

 

Кстати, есть не только технические, но и административные меры. Например, в договоре прописать, что в случае ухода в минус телефония перестаёт работать.

Уважаемый, Ваши советы по CCME пока что явлвлись крайне ценными. Вот я и спаршиваю что ещё кроме 1720, 2000, 5060 необходимо закрыть?

А за совет по поводу адм мер спасибо нужно подумать, с провом посоветоваться.

 

Простите но надо быть на всю голову отбитым шизофреником чтобы выставлять в паблик сервис за который плотются деньги без авторизации. Вы еще замок в хате своей снимите, и табличку повесьте "заходите гости дорогие".

 

Как выше ораторы высказались ACL пишите. Либо в DMZ сервис свой загораживайте и средствами DMZ огораживайтесь. Либо прокси колхозьте с авторизацией.

И таких шизофреников в достатке занаете ли. Cisco даже с выключенным голосовым сервисом слушает 5060 и 1720 порты. Это нормально?

leveler

leveler

Posted
Posted

1. Можно ещё закрыть 1719, Web, Telnet, SSH.

 

2. У них dial-peer 0 по умолчанию отрабатывает, если под другие вызов не попадает. Кстати, в каком таком месте вы отключаете голосовой сервис?

sunrise333

sunrise333

Posted
  • Author
Posted (edited)

1. Можно ещё закрыть 1719, Web, Telnet, SSH.

 

2. У них dial-peer 0 по умолчанию отрабатывает, если под другие вызов не попадает. Кстати, в каком таком месте вы отключаете голосовой сервис?

Спасибо, ну no ip http server и no ip http secure-server вроде как сразу же или лучше ACLами закрыть?

Вроде бы так

voice service voip

shutdown

а есди SSH закрыть то как рулить?

Edited by sunrise333
leveler

leveler

Posted
Posted

Никак не рулить. )

Если надо, то открывайте ssh. Если знаете, с каких адресов будете ходить, ставьте ACL на доступ. Если не знаете, можете попробовать VPN какой настроить внутрь (IPSec или ещё чего; хоть RDP).

Но это больше уже к паранойе относится. )

 

Кстати, если провайдер телефонии и онторнета совпадает, то пусть вам отдельную подсеть под эту телефонию выделят.

sunrise333

sunrise333

Posted
  • Author
Posted

Никак не рулить. )

Если надо, то открывайте ssh. Если знаете, с каких адресов будете ходить, ставьте ACL на доступ. Если не знаете, можете попробовать VPN какой настроить внутрь (IPSec или ещё чего; хоть RDP).

Но это больше уже к паранойе относится. )

 

Кстати, если провайдер телефонии и онторнета совпадает, то пусть вам отдельную подсеть под эту телефонию выделят.

Да не, телефония предприятия все по DMVPN идет. В центре VoIP шлюз за натом, а удаленные узлы

все в одном, вот и возникли траблы. Но за консультацию спасибо. Поживем увидим действенность данной методы.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.