Тема: подключение SIP-ext и безопасность в Panasonic
Вова, а SIP телефон, от SIP Софтфона - чем отличается в плане подключения?
Железячек, поддерживающих IAX в разы меньше, чем SIP телефонов. И очень часто поддержка там не полная, к примеру нет того-же шифрования. Я бы побоялся закупать такие аппараты. Другое дело бесплатный IAX софтфон.
Насколько я понял, то речь идет именно о внутренних абонентах, а их аж 128 штук может быть у Панаса и каждый может кататься по миру с SIP аппаратом... и как Вы тут астерикс цеплять собрались???
IAX софтфон в этом случае не только намного безопасней, но и надежней, т.к. никаких проблем с NATом и RTP.
Михаил , Владимир предлагает поставить Астер у АТС и регить сипфоны на нем.
я это понял, но...
Для регистрации нужны: Логин, Пароль, IP адресс сервера - отличие от Панасоника что можно сделать более емкий Логин.
Только вопрос останется открытым: как избежать атак? Просто Астер будет чуть дольше ломаться, но результат то в итоге один и тот же...
Вова предложил сменить протокол на IAX (если я правильно понял) - ну так прикол то в том что дальше SIP не используется... а с SIPом что Астер, что Панас ведут себя одинаково.
Да и с VPN-нами не все так гладко получается...
Пример: у меня интернет подается через локальную сеть провайдера. Есть удаленный офис с доступом по VPN.
Проблема в том что VPN соединение устанавливается, а к удаленной станции я подключиться не могу, т.к. в моей сети есть аналогичные адреса с удаленным офисом.
Вопрос - могу ли я как то попасть именно на сеть удаленного офиса а не на локалку???
диапазон адресов должен быть непересекающимся, это задается настройками DHCP-сервера
Только вопрос останется открытым: как избежать атак? Просто Астер будет чуть дольше ломаться, но результат то в итоге один и тот же...
О каких атаках речь? Просто задосить? Тут результат один, разве что астер положить нужно гораздо больше усилий.
Или о звонках за счет владельца АТС? Тут результат кардинально отличается, т.к. в астериске левые вызовы пойдут на специально заточенный под анонимные звонки контекст. А Панасоник - через единственную ddi/did, потом через “больше 1000 did” ну и дальше понятно.
А Панасоник - через единственную ddi/did, потом через “больше 1000 did” ну и дальше понятно.
Не правда Ваша! Учите матчасть.
диапазон адресов должен быть непересекающимся, это задается настройками DHCP-сервера
Условие не выполнимо, т.к. удаленная сеть к локалке никакого отношения не имеет.
Единственный выход - это подключаться с другой сети.
Не правда Ваша! Учите матчасть.
Не правда Ваша! Учите матчасть.
Wowa, из всей той ветки на которую Вы указали, Вы так видимо ни чего и не поняли.
Из всего написанного нужно прочесть только это.
Приципился не санкционировано по SIP к одной из своих TDE подключенных к SIPNET. Использовал для этого KX-NCP.
Результат следующий, транзит будет только при совпадении следующих условий:
1. распределение с линий SIP по DDI,
2. COS SIP транка позволяет выход во внешний мир,
3. Local Access установлен стандартный, то есть известен взломщику.P.S. Ну, и конечно нужно знать порт, через который подключаться.
Должны совпасть три условия , плюс к этому нужно знать номер порта.
1 и 3 обычно так и стоят.
Так что вся надежда на COS.
А в знаменитой пятой версии (что с зашифрованной консолью) будет несколько таблиц DID для разных транков?
1 и 3 обычно так и стоят. Так что вся надежда на COS.
Wowa, вот поэтому производитель и желает закрыть доступ к настройкам для идиотов.
А в знаменитой пятой версии (что с зашифрованной консолью) будет несколько таблиц DID для разных транков?
Как только пятая версия станет общедоступной, Вам расскажут.
Не вижу ничего идиотского в том, что бы оставить привычную 9-ку на Local Access или распределять вызовы с цифрового транка по DID.
прочитал.
ну понятно одно из решений
1 вова за астер.
2 впн железки(типа пиксы\осы от цыски и т.д.).
3 в моей необятной конторе построено на опен впн(открыто как *)основа убунта.
Для пользователей выглядит так инсталяшка проги(+ сертификат безопасности, может быть внутри инсталяшки). установил запустил и типа во внутреней сети(каждый со своими правами и запретами). Если спец есть решение бесплатное, в случае приглашения сторонего человека сума= его знаниям+мнению о себе.
Если структура филиальна то в каждом филиале по своей убунте. Бонус тда возможно по юсб совокупить с этим серваком. и (допустим как у меня ярлык на подключения этого юсб. Как бы виртуально сидя в днепре прогаю атс в астане через юсб в консоле).
4 закрытость каналов предоставляет оператор. В литве, чехии это наблюдал(по вменяемым деньгам в совокупности с телефонией и нетом). в украине Дата это организовывает(конечно не за 3 рубля).
5 сменить дефолтные значения на нечто далекое. Реально есть тде200 в пригороде Днепра на трубном заводе с белым айпишником (жопой в мир). лично на неё могу заходить. так живет больше3-х лет проблем не было(не считая сдохшего БП)
6 не использовать сип(все от панасоника)+ желательно с пунктом5
Спасибо за систематизацию ответов )) . Собственно, хотел бы повторить мысль. Проблема заключается не только в несанкционированном использовании ресурсов АТС , но и в приведении её в практически нерабочее состояние на время атаки по SIP ! И в таком случае три перечисленных условия несанкционированного доступа большого смысла не имеют. Атс почти не шевелится и её владельцев такая ситуация не может устраивать!
Как я понял из прошедшего обсуждения , наиболее жизнеспособным способом обеспечить работу SIP-ext и АТС - это обязательное построение сети VPN вместе с подключением SIPфонов. Прискорбненько, т.к. увеличивает в разы бюджет на этот процесс.
Спасибо за систематизацию ответов )) . Собственно, хотел бы повторить мысль. Проблема заключается не только в несанкционированном использовании ресурсов АТС , но и в приведении её в практически нерабочее состояние на время атаки по SIP ! И в таком случае три перечисленных условия несанкционированного доступа большого смысла не имеют. Атс почти не шевелится и её владельцев такая ситуация не может устраивать!
Как я понял из прошедшего обсуждения , наиболее жизнеспособным способом обеспечить работу SIP-ext и АТС - это обязательное построение сети VPN вместе с подключением SIPфонов. Прискорбненько, т.к. увеличивает в разы бюджет на этот процесс.
Кроме VPN есть ещё вариант - DMZ, то есть АТС за файрволом без НАТки. Многие недорогие роутеры-железки умеют DMZ. Но это актуально, если адреса у SIP-телефонов статичные. Файрвол в этом случае будет дропать атакующие пакеты с левых айпишек, и они не смогут занавесить АТС.
Ну и вариант с VPN не обязательно требует Циски-мациски. На комп - софтфон (SIP или софт-Панасоник), на тот же комп PPTP или OpenVPN клиент. В офисе - VPN-сервер на базе существующего шлюза (если позволяет) или через порт-форвардинг прокинуть VPN-порт на внутренний комп. Почти наверняка VPN-сервер можно поднять на существующих железках. Если нет - стоимость установки VPN-сервера на железе клиента у нас, например, порядка 100-200 баксов. За эти деньги ставится дистр Линуха и настраивается под клиента. Можно и на виртуалке поднять, это даже лучше. Если виртуалки нэма, то в стоимость настройки войдёт старая железка на базе Пень-3.
PS. И, кстати, стоимость SIP-экстеншенов у Панаса сильно меньше, чем 1700р. Почти ровно в 2 раза. Я могу продать по 890рублей, вобщем. Хоть завтра счёт выпишу 😊
