Форум - Офисные АТС

[bg]

Пост от 05.01: В первые дни нового года образовалась проблема природу которой до сих пор понять не могу. Из сети стали сыпаться запросы на установление конекта по Н323, при этом на системниках выдавалась такая информация
#710
В результете этого звонка подвешивался канал платы MGI. Через 20 минут приходил следующий звонок и завешивал канал и т.д. пока не заканчивались все каналы. Пробовал смотреть пакеты, запросы шли с раличных ай-пи адресов, ренее мне неизвестных. Это происходило на разных станциях в нашей сети, в разных городах и странах. Атаки продолжались 1-3 января, потом закончились сами собой. Не записал адреса с которых шли запросы, а надо было.
Добавлено 08.01: Сегодня утром обнаружил что опять висят каналы в разных станциях, правда не все, а по одному. После сканирования трафика был найден виновник - компания Akamai Technologies, которая сканирует интернет для своих исследований. Начало сессии отловить не удалось, я вижу только результат - висит канал MGI, с порта 30000 на порт 5002 ползут пакеты с сторону 80.67.86.54 заполненные единицами. АТС показывает сединение аппарата 200 (он в группе операторов) и транка 8424 (последний в группе Н323). То есть вызов пришел из сети и ушел в группу операторов, где и остался. Поднял трубку на аппарате - тишина, положил, канал освободился. Насколько я понимаю, события первых дней января и сегодня имеют одно происхождение. И как теперь с этим бороться? Понятно что можно поставить файерволл или спрятать станции за НАТ, а как это устранить средствами станций?

[Den]

Средствами станции?!
Вообще то Samsung выпускает плату GWIM для OS7400 - вот это как раз и есть средства станции. Это плата Router+Firewall c NAT и т. д. с дочкой - модулем сетевой безопасности и все это заточено под самсунговский VoIP. А если у Вас не 7400 или нет этого девайса, то не принимать из сети общего пользования нежелательные пакеты - задача админа сетевой безопасности.

[bg]

Дело в том что станция не одна, есть OS12, OS100, OS500 и стоят в разных местах, где нет админов
Вопрос в том, почему АТС принимает вызовы из сети, если ни ММС820, ни в 833 таких адресов нет. Думаю имеет место косяк в прошивках.

[Den]

Ни 820 ни 833-я MMC никак не влияют на входящую связь.
820-я - определяет идентификаторы систем при объединении станций в сеть по каналам PRI-QSIG и SIP-NET
833-я определяет IP адрес ПОЛУЧАТЕЛЯ вызова по каналам VoIP
Нигде не написано, что станция должна обрабатывать вызовы только с тех адресов, которые прописаны в этих ММС

Вопрос в другом: "Почему станция не должна обрабатывать входящий вызов?" И резонный ответ- ДОЛЖНА, если вызов в станцию попал.

[Den]

Не хотите прятать станции за NAT - и правильно. Возни с этим очень много. Пользуйтесь VPN - не будет дыр в безопасности сети, проше с организацией связи, шифрование переговоров и данных ну и куча других плюсов

[bg]

Спасибо за советы, но мой вопрос в другом - как это сделать средствами АТС?
Сегодня атаки повторились. Удалось захватить начало соединения -
#710
здесь 108 это МСР, 109 MGI. Второй раз инициатор сесии был тоже 124.217.243.94, а вот MGI зацепилась за 23.47.193.146.
Ещё в список атакующих попали:
68.220.225.197
80.67.86.54
43.167.178.40
174.210.62.153
130.194.31.250
194.158.88.2

Пробовал кардинальный метод - убрал все транки 323 из номерного плана, не помогло. Приходит вызов и просто завешивает канал MGI, при этом в ММС434 всё чисто. Бред какой-то.
Что это вообще такое, откуда берётся и почему АТС позволяет такой беспредел?

[LionB]

Все-таки сетевой безопасностью заниматься АТС, ну никак не должна. Прячьте систему за NATи закрывайте на фаерволе TCP порты 1720, 1721.

[bg]

Ну и правильно, зачем он нужен, этот Н.323
Просто интересно, неужели только у нас такая проблема образовалась? Никого больше таких атак не замечал?

[conf]

Все-таки сетевой безопасностью заниматься АТС, ну никак не должна. Прячьте систему за NATи закрывайте на фаерволе TCP порты 1720, 1721.

другие АТС могут сетевой безопасностью заниматься. до недавнего времени этому не придавал значение, а в последнее время стал зайдествовать этот раздел

[LionB]

Для этого в 7000 линейке и имется карта маршрутизатора со всеми причендалами.