sunrise333 Опубликовано 25 ноября, 2011 · Жалоба С августа месяца начались регулярные атаки на шлюзы Cisco с поднятым голосовым сервисом. Как закрыться? Есть связь с внешними SIP провайдерами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 25 ноября, 2011 · Жалоба Какие модели? Атаки заканчивались успешно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleck_K Опубликовано 25 ноября, 2011 · Жалоба Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
altnetwork.ru Опубликовано 25 ноября, 2011 · Жалоба Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет Я бы для начала пароль сделал нормальный, символов эдак в 20.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 25 ноября, 2011 · Жалоба Получается ITS через SIP ходит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 26 ноября, 2011 · Жалоба Пользуйтесь ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 27 ноября, 2011 (изменено) · Жалоба Пользуйтесь ACL. Так и поступил, но кроме 1720, 2000, 5060 что ещё необходимо закрыть? Какие модели? Атаки заканчивались успешно? 1760, 3725, 3745 Да тут по всему инету сообщения разбросаны, я так, немножко попал, а у народа на вон есть и на сотни кабаксов проломы. Для начала смените дефолтный порт 5060 на какой-нибудь другой. Это решит проблему на 90% и ни на что не повлияет Я бы для начала пароль сделал нормальный, символов эдак в 20.. Какой пароль 12IOS не умеет авторизовывать SIP клиентов. Изменено 27 ноября, 2011 пользователем sunrise333 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 28 ноября, 2011 · Жалоба Простите но надо быть на всю голову отбитым шизофреником чтобы выставлять в паблик сервис за который плотются деньги без авторизации. Вы еще замок в хате своей снимите, и табличку повесьте "заходите гости дорогие". Как выше ораторы высказались ACL пишите. Либо в DMZ сервис свой загораживайте и средствами DMZ огораживайтесь. Либо прокси колхозьте с авторизацией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 28 ноября, 2011 · Жалоба ACL'ями лучше, чем паролями. Ибо с ACL'ями на их сообщения ответов никаких не прилетит, а с паролями ваше железо будет отвечать, что какбэ намекает на возможность перебора. Кстати, есть не только технические, но и административные меры. Например, в договоре прописать, что в случае ухода в минус телефония перестаёт работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 28 ноября, 2011 · Жалоба ACL'ями лучше, чем паролями. Ибо с ACL'ями на их сообщения ответов никаких не прилетит, а с паролями ваше железо будет отвечать, что какбэ намекает на возможность перебора. Кстати, есть не только технические, но и административные меры. Например, в договоре прописать, что в случае ухода в минус телефония перестаёт работать. Уважаемый, Ваши советы по CCME пока что явлвлись крайне ценными. Вот я и спаршиваю что ещё кроме 1720, 2000, 5060 необходимо закрыть? А за совет по поводу адм мер спасибо нужно подумать, с провом посоветоваться. Простите но надо быть на всю голову отбитым шизофреником чтобы выставлять в паблик сервис за который плотются деньги без авторизации. Вы еще замок в хате своей снимите, и табличку повесьте "заходите гости дорогие". Как выше ораторы высказались ACL пишите. Либо в DMZ сервис свой загораживайте и средствами DMZ огораживайтесь. Либо прокси колхозьте с авторизацией. И таких шизофреников в достатке занаете ли. Cisco даже с выключенным голосовым сервисом слушает 5060 и 1720 порты. Это нормально? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 28 ноября, 2011 · Жалоба 1. Можно ещё закрыть 1719, Web, Telnet, SSH. 2. У них dial-peer 0 по умолчанию отрабатывает, если под другие вызов не попадает. Кстати, в каком таком месте вы отключаете голосовой сервис? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 28 ноября, 2011 (изменено) · Жалоба 1. Можно ещё закрыть 1719, Web, Telnet, SSH. 2. У них dial-peer 0 по умолчанию отрабатывает, если под другие вызов не попадает. Кстати, в каком таком месте вы отключаете голосовой сервис? Спасибо, ну no ip http server и no ip http secure-server вроде как сразу же или лучше ACLами закрыть? Вроде бы так voice service voip shutdown а есди SSH закрыть то как рулить? Изменено 28 ноября, 2011 пользователем sunrise333 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 29 ноября, 2011 · Жалоба Никак не рулить. ) Если надо, то открывайте ssh. Если знаете, с каких адресов будете ходить, ставьте ACL на доступ. Если не знаете, можете попробовать VPN какой настроить внутрь (IPSec или ещё чего; хоть RDP). Но это больше уже к паранойе относится. ) Кстати, если провайдер телефонии и онторнета совпадает, то пусть вам отдельную подсеть под эту телефонию выделят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 1 декабря, 2011 · Жалоба Никак не рулить. ) Если надо, то открывайте ssh. Если знаете, с каких адресов будете ходить, ставьте ACL на доступ. Если не знаете, можете попробовать VPN какой настроить внутрь (IPSec или ещё чего; хоть RDP). Но это больше уже к паранойе относится. ) Кстати, если провайдер телефонии и онторнета совпадает, то пусть вам отдельную подсеть под эту телефонию выделят. Да не, телефония предприятия все по DMVPN идет. В центре VoIP шлюз за натом, а удаленные узлы все в одном, вот и возникли траблы. Но за консультацию спасибо. Поживем увидим действенность данной методы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...