Тема: Защитить NCP500 от взлома по VOIP?
Добрый день всем.
Есть проблемка.
Всё началось с того что на секретаря приходят звонки, снимается трубка, а там тишина, и всё это учащаться.
Программа (Wintariff) показала что это входящие звонки с 3-4-значного левого номера (101, 1001) среди нормальных входящих номеров. И приходят они на CO-6 а это виртуальная (V-SIPGW), с соединением к IP-оператору.
Похоже нас пытаются ломать.
Где бы посмотреть полный лог АТС, вплоть до команд при начале соединения, чтоб увидеть ip-адрес другой стороны.
Может кто знает что в таких случаях нужно делать в первую очередь, куда смотреть?
Смотреть в трассировки вайршарком.
Может кто знает что в таких случаях нужно делать в первую очередь, куда смотреть?
Настроить фаервол. Поскольку встроенным NCP похвастаться не может, использовать внешний. И разрешить соединение с NCP только с ip адресов VOIP провайдера.
Поскольку встроенным NCP похвастаться не может
И за пивом она не бегает.
Настроить фаервол. Поскольку встроенным NCP похвастаться не может, использовать внешний. И разрешить соединение с NCP только с ip адресов VOIP провайдера.
Вов - а если эти звонки прилетают через провайдера - что тогда?
Опять же в данном случае пытаются ломать не СИП а транзитные звонки и дису... - а это фаерволом ну никак не защитишь. Это делается другими средствами.
Автор темы если хочет увидеть IP адрес входящего звонка - подключайте Вашршарк и смотрите.
Если звонки прилетают через провайдера, надо менять провайдера. Тут способ подключения роли не играет. Шалить могут и при подключении по ISDN и, даже, по аналогу. Но, на моей памяти, не было такого, что бы провайдер ломал клиентскую АТС.
На счет Вашршарк и тд. Ну увидим мы IP откуда-то с Палестинских территорий. Толку то. Но, если очень хочется, лог фаервола и тут гораздо удобнее, чем снифить весь трафик.
Ну в снифере тоже есть фильтры.
Если звонки прилетают через провайдера, надо менять провайдера. Тут способ подключения роли не играет. Шалить могут и при подключении по ISDN и, даже, по аналогу. Но, на моей памяти, не было такого, что бы провайдер ломал клиентскую АТС.
На счет Вашршарк и тд. Ну увидим мы IP откуда-то с Палестинских территорий. Толку то. Но, если очень хочется, лог фаервола и тут гораздо удобнее, чем снифить весь трафик.
Вов, как по мне, то надо сначала определиться откуда прилетают звонки - не так ли?
Через провайдера - тупо могут звонить на номер и воспользоваться услугами дисы... - разве нет?
Даже если увидем номер с Палестины, то тогда и нужно применять фаервол, а если он уже стоит и настроен на провайдера?
Если стоит и настроен фаервол, открыть лог и посмотреть, кто ломился на используемый для sip-сигнализации порт в момент совершения звонка.
Здравствуйте, я коллега из “соседнего цеха”, по возможности, хотелось бы получить консультацию в такой ситуации
1. Установлена новая NCP500
2. По заданию настройщика, через FW были проброшены порты 5060, 16000 - 16…., 10000-10….
3. Поскольку не были согласованы условия проброса портов, то они были доступны всему интернету, а не только IP провайдера
4. Кроме того, был открыт порт (по моему 35500) удаленного доступа для какой то программы управления АТС
В результате телефоны начали звонить по своему хотению, и непонятно по чьему велению.
Проверил логи на FW, нашел источник проблем. Взлом.
FW переведен в режим жесткого drop и обмен ведется только с IP провайдера. Вроде тишина.
Однако. Сама АТС, с периодичностью примерно 10 секунд, формирует UDP пакет с порта 5060 и пытается обратиться к американскому провайдеру (IP известен), на порты 5040-5070, случайным образом.
Вопросы:
Собсно, что происходит? Может так и надо?
Могу ли я без вызова настройщика устранить проблему?
Бонусом: Акадо столица, уже сутки, обращается ко всем портам по очереди
Коллега из “соседнего цеха”, если Вас взломали, то всё так и должно быть как Вы описываете.
Если до сих пор с проблемой сами не справились, то вызывайте знающего человека.
Многие вопросы из поднятой Вами темы, не для обсуждения на открытых форумах.
P.S. К стати цех то какой?
Разумно, походу нужно тормошить настройщика. Подожду до утра, может еще кто что посоветует.
Соседний цех - активное и пассивное сетевое оборудование. Упор на диспетчеризации электростанций, контроллерах modbus-tcp. Силовая автоматика 6 кВ и выше 😊
АТС коснулся постольку поскольку. Для меня это дремучий лес, полный ужасных монстров с именами DISA, TRS, ARS и другими
Спасибо
Бонусом: Акадо столица, уже сутки, обращается ко всем портам по очереди
Может имеет смысл отключить АТС от сети, до выяснения причин и виновников торжества.
Сегодня за ночь можете попасть на не малые деньги.
Как понимаю, тарифицируется только то, что прошло через SIP-сервер провайдера, или не так?
Если Acado ищет открытые порты на FW, то как это сказывается на трафике АТС? Вроде вообще не касается.
Кроме того, для АТС закрыто все, за исключением вышеупомянутых портов. В т.ч. закрыто и внешнее управление.
Если учитывается трафик не только SIP-сервера провайдера, то за субботу денюжка капнула нехилая :(
Как понимаю, тарифицируется только то, что прошло через SIP-сервер провайдера, или не так?
Если Acado ищет открытые порты на FW, то как это сказывается на трафике АТС? Вроде вообще не касается.
Кроме того, для АТС закрыто все, за исключением вышеупомянутых портов. В т.ч. закрыто и внешнее управление.Если учитывается трафик не только SIP-сервера провайдера, то за субботу денюжка капнула нехилая :(
Вы чего ребёнок или вообще не в теме?
АТС для меня - лес темный. Ладно, спасибо и на этом. Пусть все будет хорошо 😊 Завтра настройщика дерну, пусть думает.
