[sunrise333]

С августа месяца начались регулярные атаки на шлюзы Cisco с поднятым голосовым сервисом.

Как закрыться? Есть связь с внешними SIP провайдерами.

[TheUser]

Какие модели?

Атаки заканчивались успешно?

[Aleck_K]

Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет

[altnetwork.ru]

Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет

Я бы для начала пароль сделал нормальный, символов эдак в 20..

[sunrise333]

Получается ITS через SIP ходит?

[leveler]

Пользуйтесь ACL.

[sunrise333]

Пользуйтесь ACL.

Так и поступил, но кроме 1720, 2000, 5060 что ещё необходимо закрыть?

 

Какие модели?

Атаки заканчивались успешно?

1760, 3725, 3745

Да тут по всему инету сообщения разбросаны, я так, немножко попал,

а у народа на вон есть и на сотни кабаксов проломы.

 

Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет

Я бы для начала пароль сделал нормальный, символов эдак в 20..

Какой пароль 12IOS не умеет авторизовывать SIP клиентов.

Изменено 27 ноября, 2011 пользователем sunrise333

[ram_scan]

Простите но надо быть на всю голову отбитым шизофреником чтобы выставлять в паблик сервис за который плотются деньги без авторизации. Вы еще замок в хате своей снимите, и табличку повесьте "заходите гости дорогие".

 

Как выше ораторы высказались ACL пишите. Либо в DMZ сервис свой загораживайте и средствами DMZ огораживайтесь. Либо прокси колхозьте с авторизацией.

[leveler]

ACL'ями лучше, чем паролями. Ибо с ACL'ями на их сообщения ответов никаких не прилетит, а с паролями ваше железо будет отвечать, что какбэ намекает на возможность перебора.

 

Кстати, есть не только технические, но и административные меры. Например, в договоре прописать, что в случае ухода в минус телефония перестаёт работать.

[sunrise333]

ACL'ями лучше, чем паролями. Ибо с ACL'ями на их сообщения ответов никаких не прилетит, а с паролями ваше железо будет отвечать, что какбэ намекает на возможность перебора.

 

Кстати, есть не только технические, но и административные меры. Например, в договоре прописать, что в случае ухода в минус телефония перестаёт работать.

Уважаемый, Ваши советы по CCME пока что явлвлись крайне ценными. Вот я и спаршиваю что ещё кроме 1720, 2000, 5060 необходимо закрыть?

А за совет по поводу адм мер спасибо нужно подумать, с провом посоветоваться.

 

Простите но надо быть на всю голову отбитым шизофреником чтобы выставлять в паблик сервис за который плотются деньги без авторизации. Вы еще замок в хате своей снимите, и табличку повесьте "заходите гости дорогие".

 

Как выше ораторы высказались ACL пишите. Либо в DMZ сервис свой загораживайте и средствами DMZ огораживайтесь. Либо прокси колхозьте с авторизацией.

И таких шизофреников в достатке занаете ли. Cisco даже с выключенным голосовым сервисом слушает 5060 и 1720 порты. Это нормально?

[leveler]

1. Можно ещё закрыть 1719, Web, Telnet, SSH.

 

2. У них dial-peer 0 по умолчанию отрабатывает, если под другие вызов не попадает. Кстати, в каком таком месте вы отключаете голосовой сервис?

[sunrise333]

1. Можно ещё закрыть 1719, Web, Telnet, SSH.

 

2. У них dial-peer 0 по умолчанию отрабатывает, если под другие вызов не попадает. Кстати, в каком таком месте вы отключаете голосовой сервис?

Спасибо, ну no ip http server и no ip http secure-server вроде как сразу же или лучше ACLами закрыть?

Вроде бы так

voice service voip

shutdown

а есди SSH закрыть то как рулить?

Изменено 28 ноября, 2011 пользователем sunrise333

[leveler]

Никак не рулить. )

Если надо, то открывайте ssh. Если знаете, с каких адресов будете ходить, ставьте ACL на доступ. Если не знаете, можете попробовать VPN какой настроить внутрь (IPSec или ещё чего; хоть RDP).

Но это больше уже к паранойе относится. )

 

Кстати, если провайдер телефонии и онторнета совпадает, то пусть вам отдельную подсеть под эту телефонию выделят.

[sunrise333]

Никак не рулить. )

Если надо, то открывайте ssh. Если знаете, с каких адресов будете ходить, ставьте ACL на доступ. Если не знаете, можете попробовать VPN какой настроить внутрь (IPSec или ещё чего; хоть RDP).

Но это больше уже к паранойе относится. )

 

Кстати, если провайдер телефонии и онторнета совпадает, то пусть вам отдельную подсеть под эту телефонию выделят.

Да не, телефония предприятия все по DMVPN идет. В центре VoIP шлюз за натом, а удаленные узлы

все в одном, вот и возникли траблы. Но за консультацию спасибо. Поживем увидим действенность данной методы.