Тема: подключение SIP-ext и безопасность в Panasonic
неоднократно уже наблюдаю случаи , когда открытие на АТС сигнального SIP-порта 5060 (или проброс его с роутера) через пару дней влечет за собой флуд-атаку с крайне ощутимым затормаживанием работы АТС вплоть до полной невозможности пользоваться телефонией, не говоря уже о возможных финансовых потерях. Всвязи с этим вопрос , какими средствами можно победить этих “хулиганов” ? По возможности , прошу указывать конкретные модели или решения , а не ограничиваться общими высказываниями вроде “ставьте файерволл и будет вам счастье”.
Как вариант: все тот же VPN…
устанавливать VPN соединение между сервером за которым находится станция и удаленным абонентом. И только потом соединяться по SIP.
Но тут будут долбить уже сервак...
дык не вариант выстраивать такую инфраструктуру в небольших фирмочках. Не поймут нас , если вместе с лицензией sip-ext будем прицепом еще VPN-железки добавлять . Хочется вариантиков попроще . Помнится, я как-то предлагал менять порт регистрациии , но это тоже не панацея , т.к. многие аппараты неспособны менять порт регистрации на нестандартный.
Как вариант еще Астериск между клиентами и Панасоником.
Во-первых, не нужны лицензии sip-ext.
Во вторых у Астериска звонки с каждого канала попадают в свой контекст. В то время как у Панасоника единственная таблица DDI/DID, откуда все и проблемы.
Вариант с * я сам использую, но, где возможно, все равно VPN!
... будем прицепом еще VPN-железки добавлять ...
Ну а VPN средствами удаленного компа? а к компу уже SIP телефон подключать...
Прикол ведь в том что это недостаток SIP и такая проблема абсолютно у всех брендов...
Хотя может у кого то уже стали делать телефоны с поддержкой VNP соединения...
Как вариант еще Астериск между клиентами и Панасоником...
Вова, Астериск ведь еще хуже железки...
Если это стационарный офис - то и VPN сделать можно любыми средствами, а если это мобильник с установленным на нем SIP клиентом - тогда куда лепить Астериск???
Прикол ведь в том что это недостаток SIP и такая проблема абсолютно у всех брендов...
Проблема как раз у брендов, которые не учитывают канал, по которому пришел звонок в процессе обработки вызова.
Если это стационарный офис - то и VPN сделать можно любыми средствами, а если это мобильник с установленным на нем SIP клиентом - тогда куда лепить Астериск???
АТС и так стоит в стационарном офисе. И в 90% случаев рядом комп, хотя-бы для статистики/управления.
Естественно, я не предлагаю ставить астериск в удаленные точки с единственным клиентом.
Вова, как астерих не защищай, один хрен всё равно проламывают. Не за год, так за два. Увы, это специфика SIP-а, имена ходят открытыми, а пароль ломануть уже проще.
Владимир, проблема не с отработкой единственной таблицы , а с тем , что АТС серьезно “зависает” во время атаки . Разворачивать сервак с Астером тоже не вариант , т.к. нормально поставленное данное решение дороже даже тех же VPN-маршрутизаторов вдобавок требует более квалифицированных знаний.
Вова, как астерих не защищай, один хрен всё равно проламывают. Не за год, так за два. Увы, это специфика SIP-а, имена ходят открытыми, а пароль ломануть уже проще.
Никто не спорит, что IAX лучше. Там шифрование уже встроено в протокол.
Но и с SIPом Астериск работает в разы лучше, чем железные АТС.
сервак с Астером тоже не вариант , т.к. нормально поставленное данное решение дороже даже тех же VPN-маршрутизаторов вдобавок требует более квалифицированных знаний.
Попробуйте какой-нибудь интегрированный дистрибутив.
Настройка не сложней того-же Панасоника.
ну вот сравните. Лицензия sip-ext - 1700 , софтфоны бесплатны . Как отреагирует клиент, если я предложу ему взамен этого обзавестись отдельным серваком под Астер , возьму денег за его настройку и объединение с АТС , сдается мне, что итоговая сумма будет выше на порядок . Абсурд.
ну вот сравните. Лицензия sip-ext - 1700 , софтфоны бесплатны . Как отреагирует клиент, если я предложу ему взамен этого обзавестись отдельным серваком под Астер , возьму денег за его настройку и объединение с АТС , сдается мне, что итоговая сумма будет выше на порядок . Абсурд.
Давайте глянем с другой точки зрения.
Про софтфоны вообще не было ни слова. Так вот, под * есть прекрасные IAX софтфоны, работающие из под любого НАТа и уже с шифрованием. Сервера сейчас мало кто вообще поднимает на голом железе. Пару кликов мышью - и готова виртуалка. Конечно, если кого нанимать, согласен, может выйти соизмеримо по деньгам. Это если клиентов не много. А объективных затрат 0, количество клиентов - не ограничено лицензиями. Только количество одновременных разговоров зависит от ресурсов сервера.
Астер на виртуалке - это очень сомнительный способ получить безгеморройное решение , причем, даже если разворачивать его самостоятельно, это все равно ощутимые затраты времени , не надо про “пару кликов” ... . В общем, Вашу мысль и предложение про Астер я услышал , но хочется еще узнать и о других возможных вариантах решения вопроса.
Про софтфоны вообще не было ни слова...
Вова, а SIP телефон, от SIP Софтфона - чем отличается в плане подключения?
Насколько я понял, то речь идет именно о внутренних абонентах, а их аж 128 штук может быть у Панаса и каждый может кататься по миру с SIP аппаратом... и как Вы тут астерикс цеплять собрались???
Тот же астер будет иметь аналогичные проблемы... Те же имя, пароль и IP адресс - никаких отличий...
Михаил , Владимир предлагает поставить Астер у АТС и регить сипфоны на нем.
