Форум - Офисные АТС

[Mr.Lyu]

Сегодня перевели TDE-600 на работу с внешним IP-адресом. И сразу стало страшновато за ее безопасность. Конечно, пароль у меня длинный (по максимуму, 10 символов) и нетривиальный, но тем не менее.

А нет ли средства хотя бы вести журнал входов для последующего анализа?

[НачШтаба]

Если есть порты SIP, то беспокойтесь. DoS-атаки напрочь вешают станцию целиком, либо по СО-портам при некоторых ошибках и недочётах в программировании через вас могут слить международный трафик на приличные суммы. Что касается остального, то забейте, остальное не ломают.

[Mike_K]

Если есть порты SIP, то беспокойтесь. DoS-атаки напрочь вешают станцию целиком, либо по СО-портам при некоторых ошибках и недочётах в программировании через вас могут слить международный трафик на приличные суммы. Что касается остального, то забейте, остальное не ломают.

Всё это детские шалости по сравнению с тем, что можно сделать с АТС перехватив управление по CTI.
Какой там журнал входа-выхода?
Так понимаю, что процессор светится белым адресом во внешний мир?

[Mr.Lyu]

Так понимаю, что процессор светится белым адресом во внешний мир?

Теперь да. Хотели сначала засветить только IP-плату, а процессор оставить за кордоном, но из этого ничего не получилось. В настройках TDE-600 указываются два разных адреса - процессора и IP-платы, но для них одна маска и один Gateway.

А как можно защититься от перехвата управления по CTI?

[Mike_K]

А как можно защититься от перехвата управления по CTI?

Прячьте АТС за что-либо, что позволит описать политику обращений к АТС.
В противном случае, уже в ближайшие дни у Вас начнутся проблемы.

[Mr.Lyu]

Прячьте АТС за что-либо, что позволит описать политику обращений к АТС.
В противном случае, уже в ближайшие дни у Вас начнутся проблемы.

Да... Проблем не надо. Шеф неправильно поймет инициативу перехода на внешний ip-адрес.
Поговорю в понедельник с сисадмином. А за что обычно прячут АТС? А точнее, за что посоветуете прятать?

[Mike_K]

Всё наше спрятано за Kerio.
Нам внешний мир, как таковой не нужен. Везде VPN-ы.
Из внешнего VoIP, используем только SIPNET.

[Mr.Lyu]

Mike_K, спасибо за подсказки. Что же, в понедельник еще посмотрим...
И все же, что-то можно придумать в плане ведения журнала входов?

[Mr.Lyu]

Нам внешний мир, как таковой не нужен. Везде VPN-ы.

А есть уверенность, что VPN-ы категорически решают проблему?

[bergamot_koenig]

Хм, я бы воткнул бы ее в небольшую DMZ, ограничив вход в дмз только с адресов sipnet.ru (у них несколько сетей, можно посмотреть по whois).
Вы же консолью подключаться с интернета не будете?
Или-другой вариант-перед АТС установить астериск как сип-прокси (ну а там уже можно развернуться так как хочется )))) )