mich_ya - 07 Февраль 2012 01:55 P.M.

Вова, а SIP телефон, от SIP Софтфона - чем отличается в плане подключения?

Железячек, поддерживающих IAX в разы меньше, чем SIP телефонов. И очень часто поддержка там не полная, к примеру нет того-же шифрования. Я бы побоялся закупать такие аппараты. Другое дело бесплатный IAX софтфон.

mich_ya - 07 Февраль 2012 01:55 P.M.

Насколько я понял, то речь идет именно о внутренних абонентах, а их аж 128 штук может быть у Панаса и каждый может кататься по миру с SIP аппаратом… и как Вы тут астерикс цеплять собрались???

IAX софтфон в этом случае не только намного безопасней, но и надежней, т.к. никаких проблем с NATом и RTP.

Akelа - 07 Февраль 2012 02:05 P.M.

Михаил , Владимир предлагает поставить Астер у АТС и регить сипфоны на нем.

я это понял, но…
Для регистрации нужны: Логин, Пароль, IP адресс сервера - отличие от Панасоника что можно сделать более емкий Логин.

Только вопрос останется открытым: как избежать атак? Просто Астер будет чуть дольше ломаться, но результат то в итоге один и тот же…

Вова предложил сменить протокол на IAX (если я правильно понял) - ну так прикол то в том что дальше SIP не используется… а с SIPом что Астер, что Панас ведут себя одинаково.

Да и с VPN-нами не все так гладко получается…

Пример: у меня интернет подается через локальную сеть провайдера. Есть удаленный офис с доступом по VPN.
Проблема в том что VPN соединение устанавливается, а к удаленной станции я подключиться не могу, т.к. в моей сети есть аналогичные адреса с удаленным офисом.

Вопрос - могу ли я как то попасть именно на сеть удаленного офиса а не на локалку???

диапазон адресов должен быть непересекающимся, это задается настройками DHCP-сервера

mich_ya - 07 Февраль 2012 02:49 P.M.

Только вопрос останется открытым: как избежать атак? Просто Астер будет чуть дольше ломаться, но результат то в итоге один и тот же…

О каких атаках речь? Просто задосить? Тут результат один, разве что астер положить нужно гораздо больше усилий.
Или о звонках за счет владельца АТС? Тут результат кардинально отличается, т.к. в астериске левые вызовы пойдут на специально заточенный под анонимные звонки контекст. А Панасоник - через единственную ddi/did, потом через “больше 1000 did” ну и дальше понятно.

Wowa - 07 Февраль 2012 03:03 P.M.

А Панасоник - через единственную ddi/did, потом через “больше 1000 did” ну и дальше понятно.

Не правда Ваша! Учите матчасть.

Akelа - 07 Февраль 2012 03:00 P.M.

диапазон адресов должен быть непересекающимся, это задается настройками DHCP-сервера

Условие не выполнимо, т.к. удаленная сеть к локалке никакого отношения не имеет.

Единственный выход - это подключаться с другой сети.

Mike_K - 07 Февраль 2012 03:11 P.M.

Не правда Ваша! Учите матчасть.

Вот тема: http://mini-ats.info/index.php/conf/viewthread/34189/

Wowa - 07 Февраль 2012 03:37 P.M.

Mike_K - 07 Февраль 2012 03:11 P.M.

Не правда Ваша! Учите матчасть.

Вот тема: http://mini-ats.info/index.php/conf/viewthread/34189/

Wowa, из всей той ветки на которую Вы указали, Вы так видимо ни чего и не поняли.
Из всего написанного нужно прочесть только это.

Mike_K - 23 Сентябрь 2011 08:50 A.M.

Приципился не санкционировано по SIP к одной из своих TDE подключенных к SIPNET. Использовал для этого KX-NCP.
Результат следующий, транзит будет только при совпадении следующих условий:
1. распределение с линий SIP по DDI,
2. COS SIP транка позволяет выход во внешний мир,
3. Local Access установлен стандартный, то есть известен взломщику.

P.S. Ну, и конечно нужно знать порт, через который подключаться.

Должны совпасть три условия , плюс к этому нужно знать номер порта.

1 и 3 обычно так и стоят.
Так что вся надежда на COS.

А в знаменитой пятой версии (что с зашифрованной консолью) будет несколько таблиц DID для разных транков?

Wowa - 07 Февраль 2012 05:15 P.M.

1 и 3 обычно так и стоят. Так что вся надежда на COS.

Wowa, вот поэтому производитель и желает закрыть доступ к настройкам для идиотов.

А в знаменитой пятой версии (что с зашифрованной консолью) будет несколько таблиц DID для разных транков?

Как только пятая версия станет общедоступной, Вам расскажут.

Не вижу ничего идиотского в том, что бы оставить привычную 9-ку на Local Access или распределять вызовы с цифрового транка по DID.

прочитал.
ну понятно одно из решений
1 вова за астер.
2 впн железки(типа пиксы\осы от цыски и т.д.).
3 в моей необятной конторе построено на опен впн(открыто как *)основа убунта.
Для пользователей выглядит так инсталяшка проги(+ сертификат безопасности, может быть внутри инсталяшки). установил запустил и типа во внутреней сети(каждый со своими правами и запретами). Если спец есть решение бесплатное, в случае приглашения сторонего человека сума= его знаниям+мнению о себе.
Если структура филиальна то в каждом филиале по своей убунте. Бонус тда возможно по юсб совокупить с этим серваком. и (допустим как у меня ярлык на подключения этого юсб. Как бы виртуально сидя в днепре прогаю атс в астане через юсб в консоле).
4 закрытость каналов предоставляет оператор. В литве, чехии это наблюдал(по вменяемым деньгам в совокупности с телефонией и нетом). в украине Дата это организовывает(конечно не за 3 рубля).
5 сменить дефолтные значения на нечто далекое. Реально есть тде200 в пригороде Днепра на трубном заводе с белым айпишником (жопой в мир). лично на неё могу заходить. так живет больше3-х лет проблем не было(не считая сдохшего БП)
6 не использовать сип(все от панасоника)+ желательно с пунктом5

Спасибо за систематизацию ответов )) .  Собственно, хотел бы повторить мысль. Проблема заключается не только в несанкционированном использовании ресурсов АТС , но и в приведении её в практически нерабочее состояние на время атаки по SIP ! И в таком случае три перечисленных условия несанкционированного доступа большого смысла не имеют. Атс почти не шевелится и её владельцев такая ситуация не может устраивать!
Как я понял из прошедшего обсуждения , наиболее жизнеспособным способом обеспечить работу SIP-ext и АТС - это обязательное построение сети VPN вместе с подключением SIPфонов. Прискорбненько, т.к. увеличивает в разы бюджет на этот процесс.

Akelа - 08 Февраль 2012 10:20 A.M.

Спасибо за систематизацию ответов )) .  Собственно, хотел бы повторить мысль. Проблема заключается не только в несанкционированном использовании ресурсов АТС , но и в приведении её в практически нерабочее состояние на время атаки по SIP ! И в таком случае три перечисленных условия несанкционированного доступа большого смысла не имеют. Атс почти не шевелится и её владельцев такая ситуация не может устраивать!
Как я понял из прошедшего обсуждения , наиболее жизнеспособным способом обеспечить работу SIP-ext и АТС - это обязательное построение сети VPN вместе с подключением SIPфонов. Прискорбненько, т.к. увеличивает в разы бюджет на этот процесс.

Кроме VPN есть ещё вариант - DMZ, то есть АТС за файрволом без НАТки. Многие недорогие роутеры-железки умеют DMZ. Но это актуально, если адреса у SIP-телефонов статичные. Файрвол в этом случае будет дропать атакующие пакеты с левых айпишек, и они не смогут занавесить АТС.

Ну и вариант с VPN не обязательно требует Циски-мациски. На комп - софтфон (SIP или софт-Панасоник), на тот же комп PPTP или OpenVPN клиент. В офисе - VPN-сервер на базе существующего шлюза (если позволяет) или через порт-форвардинг прокинуть VPN-порт на внутренний комп. Почти наверняка VPN-сервер можно поднять на существующих железках. Если нет - стоимость установки VPN-сервера на железе клиента у нас, например, порядка 100-200 баксов. За эти деньги ставится дистр Линуха и настраивается под клиента. Можно и на виртуалке поднять, это даже лучше. Если виртуалки нэма, то в стоимость настройки войдёт старая железка на базе Пень-3.

PS. И, кстати, стоимость SIP-экстеншенов у Панаса сильно меньше, чем 1700р. Почти ровно в 2 раза. Я могу продать по 890рублей, вобщем. Хоть завтра счёт выпишу