Форум системных администраторов
IT => Телефония => Тема начата: Triangle от 28 июня 2016, 08:36:04
-
Вот прямо вчера началось, посыпались звонки с несуществующих номеров 1001, 1002... и.т.п.
Станция не моя, станция виртуальная у поставщика услуг, цитирую....
Подобный взлом производится минуя наши сервера. Запросы направляются напрямую на sip оборудование. Поэтому на софтфоны вызовы не поступают. Работу необходимо проводить в направлении улучшения сетевой безопасности.
Ну ок, как бы во первых телефоны сидят у меня внутри моей сети, за NAT, регистрируются они на SIP сервере поставщика услуги, тогда как проламываются ко мне?
Как уже спрашивал, чего курить то в первую очередь?
-
Маршрутизатор свой курить я думаю, смотреть чего разрешено и может его таки запретить.
Я к тому, что в первую очередь я бы посмотрел какой трафик у меня разрешен, а какой запрещен на пограничном маршрутизаторе.
-
Я к тому, что в первую очередь я бы посмотрел какой трафик у меня разрешен, а какой запрещен на пограничном маршрутизаторе.
И главное, откуда он разрешен и куда он разрешен =)
-
Ну там ветер гуляет.
interface FastEthernet1
ip address 212.100.***.116 255.255.255.248
ip route 0.0.0.0 0.0.0.0 212.100.***.113
ip nat inside source list 24 interface FastEthernet1 overload
access-list 24 permit 192.168.0.0 0.0.1.255
access-list 24 permit 192.168.2.0 0.0.0.255
access-list 24 permit 192.168.3.0 0.0.0.255
access-list 199 deny tcp any any eq smtp
ip nat inside source list 24 interface FastEthernet1 overload
Но, я не понимаю, как они могут заходить на меня снаружи если у меня только динамический NAT для адресов внутренней сети,
есть ещё и статика, но она четко на определенные адреса.
ip nat inside source static 192.168.1.188 94.79.**.2 extendable
ip nat inside source static 192.168.1.189 94.79.**.3 extendable
ip nat inside source static 192.168.1.190 94.79.**.4 extendable
ip nat inside source static 192.168.1.191 94.79.**.5 extendable
ip nat inside source static 192.168.1.192 94.79.**.7 extendable
ip nat inside source static 192.168.1.193 94.79.**.8 extendable
ip nat inside source static 192.168.1.194 94.79.**.9 extendable
ip nat inside source static 192.168.1.195 94.79.**.10 extendable
ip nat inside source static 192.168.1.196 94.79.**.11 extendable
ip nat inside source static 192.168.1.197 94.79.**.12 extendable
ip nat inside source static tcp 192.168.1.248 25 212.100.***.116 ** extendable
ip nat inside source static tcp 192.168.1.248 110 212.100.***.116 *** extendable
ip nat inside source static tcp 192.168.1.248 443 212.100.***.116 *** extendable
ip nat inside source static 192.168.1.207 212.100.***.117 extendable
-
Triangle, а кинь в личку реальный ип, посмотрю сканером
Updated: 28 June 2016, 13:20:07
А что за сервис, где виртуальная АТС?
Не задарма часом?
-
Станция МТТ, виртуальная АТС, у них, у меня вебморда для управления ей, честно говоря восхищен, сумели сделать простой, удобный продукт, этой станции не нужен даже админ если честно.
-
Я с ними давно работаю, только по другому продукту.
Саппорт вполне адекватен, так что помогут разобраться.
-
Добрый день, Ульяна!
Сообщаем Вам, что звонки с коротких номеров (100, 101, 1000, 100001 и т.д.) означают попытки подбора и взлома пароля Вашего аккаунта злоумышленниками. Система MTTBussines воспринимает такие попытки как входящие звонки с подобных номеров. В данной ситуации поможет смена пароля от личного кабинета (установите на порядок сложнее). ВАЖНО: Обязательно необходимо провести меры по обеспечению безопасности (сетевая защита (настройка firewall), дизайн сети (разделение голоса и данных в разные Vlan, VPN), анализ логов (fail2ban), защита планом маршрутизации звонков (dialplan), защита периферийных устройств, надежные пароли);
Спасибо, что выбрали нас. Благодарим Вас за обращение в нашу Компанию.
С уважением, Команда МТТ
Ну ладно я готов побыть даже Ульяной, но...
Блин о каком пароле они говорят на всех 46 аккаунтах пароли из серии, застрелитесь все враги.
Настройка firewall, дизайн сети, разделение VLAN, не понимаю что они от меня хотят...
fail2ban, логи... АТС у них или у меня, аллё...
Если чо у меня наружу ничего не торчит.
-
Triangle,
Возможно на телефонах включен Direct IP call, попробуйте отключить.
Также лучше отключить прием анонимных звонков.
Вероятнее всего, АТС тут вообще ни при чем, просто какой-то завирусованный комп пакостит.
Встречал такую беду у грандстримов http://grandstreamnetworks.ru/content/view/72/74/
Звонки валяться на какие-то конкретные телефоны или на все?
-
Рандомно, иногда на все, иногда на отдельные. Локальные SIP порты сменил, директ вроде как проверял что выключен. Анонимные звонки, проверю, пока так на вскидку не помню, завирусованый комп, ну теоретически это конечно возможно. Но как отловить, не надумывается. Телефоны Yealink и Panasonic(dect), бесятся и те и другие. Во вторник детально проверю все эти варианты.
-
Triangle,
Может быть есть возможность изолировать часть телефонов, хотя бы пару-тройку штук, в отдельный VLAN, запретив доступ в этот VLAN из других сегментов сети? Пусть из этого VLAN будет доступ только до АТС и больше никуда. И посмотреть что из этого получится, тогда вы точно поймете на чьей стороне проблема, на Вашей или АТС.
ЗЫ: рекомендации по настройке yealink для защиты от спам-звонков http://mangohelp.ru/index.php/Yealink_SPAM
-
Возможно на телефонах включен Direct IP call, попробуйте отключить.
А каким образом Direct Call может быть использован злодеями? Что-то не догоню никак. ???
-
shs, Ну если предположить что какая то дрянь уже внутри моей сети...
-
shs, Ну если предположить что какая то дрянь уже внутри моей сети...
То? ???
-
Возможно на телефонах включен Direct IP call, попробуйте отключить.
А каким образом Direct Call может быть использован злодеями? Что-то не догоню никак. ???
Я честно говоря тоже не могу придумать, возможно таким образом выявляют телефоны в сети, чтобы потом пытаться на них каким-то образом зайти, а может тупо из желания напакостить, ведь мало приятного когда телефоны впустую трезвонят весь день:)
-
Вобщем так, поймал обзвонившегося...
Выключаю ему SIP аккаунт который идет с это гребаной виртуальной станции... всё порядок...
Пароль свежий 16 знаков его мать. Только включаю аккаунт и понеслась...
-
Вобщем так, поймал обзвонившегося...
Выключаю ему SIP аккаунт который идет с это гребаной виртуальной станции... всё порядок...
Пароль свежий 16 знаков его мать. Только включаю аккаунт и понеслась...
Не понял. У тебя звонки из локальной сети на АТС идут под этим аккаунтом?
-
shs, Нет, я сейчас поймал телефон который узвонился, на нем всего один аккаунт этого гребаного МТТ, выключаю аккаунт, в телефоне, и всё сразу прекращается.
-
shs, Нет, я сейчас поймал телефон который узвонился, на нем всего один аккаунт этого гребаного МТТ, выключаю аккаунт, в телефоне, и всё сразу прекращается.
т.е. твой телефонный аппарат кто-то использует как прокси?
-
кто-то использует как прокси?
Это как?
-
кто-то использует как прокси?
Это как?
Совершает
кто-то использует как прокси?
Это как?
Ну, напрмер некая зараженная машина обращается по сети к твоему телефону для совершения звонков. Не сам же по себе он осуществляет вызовы?
-
Логично... Надо изолировать телефонию в отдельный VLAN и чтобы дальше шлюза сообщения ни с чем не было, но блин это не сейчас, коммутаторы едут только.