Тема: Атаки на Panasonic KX-NCP500
Добрый день,
помогите пожалуйста советом.
Установлена вышеупомянутая АТС. Сегодня начались странные звонки на все внутренние телефоны с номеров 100, 1000, 2000, 4000 и пр.
Поднимаешь трубку - тишина. При этом занимаются все 3 линии на некоторое время.
В сервисной организации сказали что это хакерские атаки.
Как можно защитить АТС? Боюсь огромного счёта за звонки в Африку...
пароль поменять.....
Спасибо, пароль сменю, но ведь уже какая-то инъекция в конфигурации имеется? Как её вычислить?
Спасибо, пароль сменю, но ведь уже какая-то инъекция в конфигурации имеется? Как её вычислить?
Конфигурацию выложить сюда. Знающие люди посмотрят, подскажут.
К сожалению, встроенного фаервола в NCP/TDE нет. Вывод очевиден - использовать внешний. Например, разрешить станции коннектиться только с серверами провайдера. Еще отличный вариант - между АТС и интернетом поставить сервер Астериск. Это поможет не только закрыться от атак, но и сэкономить на транковых лицензиях.
К сожалению, встроенного фаервола в NCP/TDE нет.
Если чел не может настроить невстроенный файрволл, то и встроенный ему не помог бы.
Спасибо, пароль сменю, но ведь уже какая-то инъекция в конфигурации имеется? Как её вычислить?
Доверять настройку станции следовало профессионалам. В данном случае следует доверить им её аудит. Ценник будет такой же, как на первоначальную настройку, я думаю. Я бы именно столько взял с “экономных” самоделкиных.
Если чел не может настроить невстроенный файрволл, то и встроенный ему не помог бы.
Не все так просто. Провайдер может предоставлять DNS имя SIP сервера, и периодически менять IP. А, может требуется разрешать подключение voip-ext, от клиентов, которые вообще неизвестно где находятся? Информации у нас недостаточно, но, в любом случае - астериск на входе поможет решить массу проблем.
Если чел не может настроить невстроенный файрволл, то и встроенный ему не помог бы.
Не все так просто. Провайдер может предоставлять DNS имя SIP сервера, и периодически менять IP. А, может требуется разрешать подключение voip-ext, от клиентов, которые вообще неизвестно где находятся? Информации у нас недостаточно, но, в любом случае - астериск на входе поможет решить массу проблем.
По-моему, даже дешёвый микротик умеет по FQDN строить свои ACL. А VoIP-EXT, которые неизвестно где - дык это они и звонят у топикстартера. Без VPN нефиг разрешать коннекты с таких ext. Ну или хотя бы пароли ставить не из 4 цифр.
Не обязательно. С транка тоже можно позвонить. На внутренние - если стоит распределение по DID. И даже наружу, если каким-то образом разрешить транзит.
По-моему, даже дешёвый микротик умеет по FQDN строить свои ACL. А VoIP-EXT, которые неизвестно где - дык это они и звонят у топикстартера. Без VPN нефиг разрешать коннекты с таких ext. Ну или хотя бы пароли ставить не из 4 цифр.
Да у микротика там довольно не плохой набор, есть и фаервол и айписек. Процессор правда дохленький, ну так надо же не голосовой трафик шифровать, а дропать левые подключения, он бы справился.
Блин - это все мне напоминает старый детский ЕРАЛАШ... когда парень рекламировал супер-пупер класные часы, которые показывали абсолютно все: от времени... до погоды ... но блин 2 чемодана батареек - это занадто :umora:
Сколько еще чемоданов надо прикрутить к Панасонику? :(
Астер - это тот же чемодан. Мало его таскать, надо еще уметь готовить :D
Я думаю сначала надо узнать у автора схему подключения его атс или атс -ок к провайдеру, узнать все промежуточные звенья. У меня как то сума сошла cisco 2801 и начала обзванивать номера на панасе, перегрузил все ок.
А вообще если все на прямки я б поставил бы перед атс кой cisco ASA, через которую можно разрулить фаервол + отслеживать всю статистику кто к вам щимится.
Спасибо, пароль сменю, но ведь уже какая-то инъекция в конфигурации имеется? Как её вычислить?
Доверять настройку станции следовало профессионалам. В данном случае следует доверить им её аудит. Ценник будет такой же, как на первоначальную настройку, я думаю. Я бы именно столько взял с “экономных” самоделкиных.
Установку и настройку выполняли профессионалы. Если честно, на них и грешу - по звонку им о возникшей проблеме, они уже были готовы к разговору и сразу обозначили ценник за новые работы!
Для меня телефония как китайская грамота... Поэтому прошу советов, рассчитанных на человека, который впервые сталкивается с этим.
Конфигурация примитивная:
Маршрутизатор Длинк-655 + АТС подключена напрямую.
Спасибо!
Установку и настройку выполняли профессионалы. Если честно, на них и грешу - по звонку им о возникшей проблеме, они уже были готовы к разговору и сразу обозначили ценник за новые работы!
В такой ситуации нужно первым делом сменить все пароли к станции, к провайдерским аккаунтам и пин-кодам экстеншенов. Мало ли куда они могли уплыть.
Установку и настройку выполняли профессионалы. Если честно, на них и грешу - по звонку им о возникшей проблеме, они уже были готовы к разговору и сразу обозначили ценник за новые работы!
Доверять настройку станции следовало профессионалам.
meridbt Вам бы этот ценник озвучили сразу, если бы Вы сразу поставили задачу, а так выходит что задачу ставим на рубль, а результат требуем на миллион... - вот Вам на каждый кусок задачи ценник и рисуют.
