Сегодня перевели TDE-600 на работу с внешним IP-адресом. И сразу стало страшновато за ее безопасность. Конечно, пароль у меня длинный (по максимуму, 10 символов) и нетривиальный, но тем не менее.
А нет ли средства хотя бы вести журнал входов для последующего анализа?
Если есть порты SIP, то беспокойтесь. DoS-атаки напрочь вешают станцию целиком, либо по СО-портам при некоторых ошибках и недочётах в программировании через вас могут слить международный трафик на приличные суммы. Что касается остального, то забейте, остальное не ломают.
я чаще злой, но иногда бываю добрый как дедушка Ленин. С проводами и кабелями - почти бог. По панасам умею практически всё. Вопрос лишь в том, хочу ли.. Для сильно любопытных есть переносной номер +7-916-1875844.
НачШтаба писал(а):Если есть порты SIP, то беспокойтесь. DoS-атаки напрочь вешают станцию целиком, либо по СО-портам при некоторых ошибках и недочётах в программировании через вас могут слить международный трафик на приличные суммы. Что касается остального, то забейте, остальное не ломают.
Всё это детские шалости по сравнению с тем, что можно сделать с АТС перехватив управление по CTI. Какой там журнал входа-выхода? Так понимаю, что процессор светится белым адресом во внешний мир?
Mike_K писал(а):Так понимаю, что процессор светится белым адресом во внешний мир?
Теперь да. Хотели сначала засветить только IP-плату, а процессор оставить за кордоном, но из этого ничего не получилось. В настройках TDE-600 указываются два разных адреса - процессора и IP-платы, но для них одна маска и один Gateway.
А как можно защититься от перехвата управления по CTI?
Mike_K писал(а):Прячьте АТС за что-либо, что позволит описать политику обращений к АТС. В противном случае, уже в ближайшие дни у Вас начнутся проблемы.
Да... Проблем не надо. Шеф неправильно поймет инициативу перехода на внешний ip-адрес. Поговорю в понедельник с сисадмином. А за что обычно прячут АТС? А точнее, за что посоветуете прятать?
Хм, я бы воткнул бы ее в небольшую DMZ, ограничив вход в дмз только с адресов sipnet.ru (у них несколько сетей, можно посмотреть по whois). Вы же консолью подключаться с интернета не будете? Или-другой вариант-перед АТС установить астериск как сип-прокси (ну а там уже можно развернуться так как хочется )))) )