Тема: как защитить TDE 100 от атак из интернета

Настроена TDE 100 c большим количеством SIP аккаунтов. Платы IPCMPR и VoIP-DSP имеют белые статические адреса. Как защитить АТС от несанкционированных подключений извне? Ведь можно же к ней подключиться через интернет и сделать экспорт линий SIP, пароли хранятся в открытом виде?

dogidogi - 15.10.14 8:26

...Ведь можно же к ней подключиться через интернет и сделать экспорт линий SIP, пароли хранятся в открытом виде?

Поделитесь, как это сделать?

dogidogi - 15.10.14 8:26

Как защитить АТС от несанкционированных подключений извне?

Так же, как и все свои сервера с БД - спрятать из дикого интернета.

dogidogi - 15.10.14 8:26

Как защитить АТС от несанкционированных подключений извне?

За NAT-ом вестимо. Обсуждалось неоднократно.

Поговорите с провайдером и заставьте его установить сетевую защиту firewall(брандмауэр), т.е установить фильтр, который позволить проходить пакетам к станции(IP-адрес проца) с IP-адреса SIP-провайдера и наоборот. В качестве примера.

Mike_K - 15.10.14 9:14

dogidogi - 15.10.14 8:26

...Ведь можно же к ней подключиться через интернет и сделать экспорт линий SIP, пароли хранятся в открытом виде?

Поделитесь, как это сделать?

Зная IP адрес и пароль без проблем. Про NAT и Firewall понятно. Наверное самое верное это фильтрация со стороны провайдеры, чтобы только с конкретного адреса разрешалась работа SIP аккаунтов. да и еще ATS за NAT’ом нормально работает?

dogidogi - 15.10.14 11:09

да и еще ATS за NAT’ом нормально работает?

Лучше чем с неприкрытой попой в диком нете  :D

раньше у провайдера фильтровался трафик, и я не мог подключиться, в данный момент могу без напрягов, а экспортированные настройки SIP даже не шифруются (((

dogidogi - 15.10.14 11:09

Зная IP адрес и пароль без проблем.

На пароль сильно не надейтесь. У хакеров наверняка есть инженерные входы.

dogidogi - 15.10.14 11:09

Про NAT и Firewall понятно. Наверное самое верное это фильтрация со стороны провайдеры, чтобы только с конкретного адреса разрешалась работа SIP аккаунтов. да и еще ATS за NAT’ом нормально работает?

NAT с маскарадингом совсем не нужны.
Просто спрячьте АТС за фаерволом. У меня, например, и для внутренней сети порты управления прикрыты.

не до конца понял, сейчас на АТС 2 внешних адреса из сети провайдера, по одному проводу. Мне надо отфильтровывать трафик для платы IPCMPR? но не совсем понятно как, т.к. в АТС приходит 1 провод.

dogidogi - 20.10.14 5:24

не до конца понял, сейчас на АТС 2 внешних адреса из сети провайдера, по одному проводу. Мне надо отфильтровывать трафик для платы IPCMPR? но не совсем понятно как, т.к. в АТС приходит 1 провод.

Поставтье в разрыв этому проводу соответствующую железку.

В разрыв можно установить межсетевой экран с поддержкой NAT и IPSeq Juniper(или любой другой).

dogidogi - 20.10.14 5:24

не до конца понял, сейчас на АТС 2 внешних адреса из сети провайдера, по одному проводу. Мне надо отфильтровывать трафик для платы IPCMPR? но не совсем понятно как, т.к. в АТС приходит 1 провод.

Обратитесь к грамотному сетевому администратору.

Требуется отфильтровать RTP(голосовые) пакеты по портам 16000 + п(кол-во SIP-транков*2) - IP-адрес DSP,  и пакеты  сигнализации (порт 3560/5060, IP-адрес проца).

Командир дивизии - 20.10.14 10:21

порт 3560

может 35060?

Извини, нолик забыл.