Главное меню
Навигация
Настраиваем с нуля
Цикл статей Настройка Call Manager Express CUCME с нуля:
Цикл статей Настройка Call Manager CUCM с нуля:
Comunications Apps с нуля
UCCX
- Настройка Cisco Unified Contact Center Express (UCCX) с нуля. Часть 1
- Настройка Cisco Unified Contact Center Express (UCCX) с нуля. Часть 2
- Настройка Cisco Unified Contact Center Express (UCCX) с нуля. Часть 3
- Настройка UCCX 10.x, 11.x + Cisco Finesse desktop
- Установка скрипта для записи UCCX Prompts
CUC
- Настройка Cisco Unity Connection (CUC) с нуля. Часть 1
- Настройка Cisco Unity Connection (CUC) с нуля. Часть 2
CUP
- Настройка Cisco Unified Presence (CUP) с нуля. Теория
- Настройка Cisco Unified Presence (CUP) с нуля. Практика: Начальная установка
MediaSense
Настройка комплекта Cisco CUCM Business Edition 6000
- Настройка комплекта BE6000: Введение
- Настройка комплекта BE6000: Установка CUCM 11
- Настройка комплекта BE6000: Начальная установка CUC 11
- Настройка комплекта BE6000: Немного теории CUC 11
- Настройка комплекта BE6000: Настраиваем своего автосекретаря (IVR) в CUC 11
- Настройка комплекта BE6000: правильная Архивация CUCM 11.5
- Настройка комплекта BE6000: Восстановление CUCM 11.5 из архива
- Настройка комплекта BE6000: устанавливаем лицензии для телефонов CUCM 11.5
- Настройка комплекта BE6000: настройка конференции ad hoc CUCM 11.5
- Настройка комплекта BE6000: настройка конференции meet-me CUCM 11.5
- Настройка комплекта BE6000: настройка мониторинга комплекса CUCM 11.5
CUCM в крупном предприятии
- SRST. Теория (часть 1)
- SRST: Практика (Часть 2)
- Диалплан (dialplan) в крупной организации
- Cisco Device Mobility. Теория
- Cisco Device Mobility. Настройка
- Cisco Extension Mobility. Теория
- Cisco Extension Mobility. Настройка
- Call Control Discovery
- Настройка Multicast MOH Server на маршрутизаторах филиалов
- Cisco H.323 Gatekeeper. Теория
- Cisco H.323 Gatekeeper. Настройка и Практика
- Cisco H.323 Gatekeeper и Call Admission Control
- Практика подключения H.323 и SIP с использованием CUBE
- CUCM и LDAP Integration
DTMF и его настройка
Вы здесь
Предотвращение взлома Toll-Fraud
пт, 17/05/2013 - 16:13 — vs
Toll-Fraud - это когда злоумышленник через ваш маршрутизатор звонит туда куда ему вздумается за ваш счет.
Риск Toll-Fraud имеется если ваш голосовой роутер смотрит наружу.
Для предотвращение Toll Fraud выполните следующие шаги, из них первые два обязательны:
1) Обновить IOS минимум до версии 15.1(2)T
2) Ввести команды:
voice service voip ip address trusted list ipv4 192.168.0.0 255.255.0.0 ipv4 172.16.0.0 255.240.0.0 ipv4 10.0.0.0 255.0.0.0
Эти команды разрешают принимать звонки только с указанных подсетей. Обычно злоумышленник находится снаружи.
Теперь даже при открытых портах злоумышленник не сможет совершить звонок.
3) Перекройте доступ к маршрутизатору по голосовым портам. Это можно сделать либо установкой Zone Based Firewall, либо повестить несложный access-list на внешний интерфейс:
ip access-list extended prevent_toll_fraud_acl deny udp any any eq 2427 log deny tcp any any eq 2428 log deny tcp any any range 1718 1720 log deny tcp any any eq 1731 log deny tcp any any eq 2000 log deny tcp any any eq 5060 log deny udp any any eq 5060 log permit ip any any ! interface FastEthernet0/0/0 ip access-group prevent_toll_fraud_acl in
Для Zone Based Firewall команды будут примерно следующие:
ip access-list extended acl_selfaccess permit tcp any any eq 22 ! class-map type inspect match-any cm_selfaccess match access-group name acl_selfaccess match protocol icmp ! policy-map type inspect pm_outside-self class type inspect cm_selfaccess inspect class class-default drop ! zone-pair security outside-self source outside destination self service-policy type inspect pm_outside-self
4) Просканируйте маршрутизатор на предмет открытых портов, например с помощью nmap. Скан не должен выявить открытых портов H.323, SIP или SCCP.
Вариант для ZBF включая GRE + доступ от роутера наружу.
ip access-list extended acl_GRE-PROTOCOL permit gre any any class-map type inspect match-all cm_GRE-PROTOCOL match access-group name acl_GRE-PROTOCOL ip access-list extended acl_selfaccess_out permit ip any any ! class-map type inspect match-any cm_selfaccess_in match access-group 23 match protocol icmp ! class-map type inspect match-any cm_selfaccess_out match access-group name acl_selfaccess_out policy-map type inspect pm_outside-self class type inspect cm_GRE-PROTOCOL pass class type inspect cm_selfaccess_in inspect class class-default drop ! policy-map type inspect pm_self-outside class type inspect cm_GRE-PROTOCOL pass class type inspect cm_selfaccess_out inspect class class-default drop zone-pair security outside-self source outside destination self service-policy type inspect pm_outside-self zone-pair security self-outside source self destination outside service-policy type inspect pm_self-outside
Проверка работы Toll-Fraud
Проверка текущей конфигурации:
show ip address trusted list
obncube2951#show ip address trusted list IP Address Trusted Authentication Administration State: UP Operation State: UP IP Address Trusted Call Block Cause: call-reject (21) VoIP Dial-peer IPv4 Session Targets: Peer Tag Oper State Session Target -------- ---------- -------------- 415 UP ipv4:192.168.254.11 500 UP ipv4:192.168.254.11 IP Address Trusted List: ipv4 212.53.40.40 255.255.255.255 ipv4 192.168.254.11 255.255.255.255
Для лога можно на постоянку включить:
voice iec syslog
Тогда в лог будут валиться сообщения типа:
Nov 25 06:41:45.239: %VOICE_IEC-3-GW: Application Framework Core: Internal Error (Toll fraud call rejected): IEC=1.1.228.3.31.0 on callID 3435 GUID=F521527D73A411E496AF8C7FE7052F09
Либо сделать дебаг:
debug voip ccapi inout
обнаружит следующее:
Try with the demoted called number 140810972595082217 Nov 25 06:07:13.637: %VOICE_IEC-3-GW: Application Framework Core: Internal Error (Toll fraud call rejected): IEC=1.1.228.3.31.0 on callID 3423 GUID=225C02D773A011E496878C7FE7052F09 Nov 25 06:07:13.637: //3423/225C02D79687/CCAPI/ccCallSetContext: Context=0xA47524C Nov 25 06:07:13.637: //3423/225C02D79687/CCAPI/cc_process_call_setup_ind: >>>>CCAPI handed cid 3423 with tag 0 to app "_ManagedAppProcess_TOLLFRAUD_APP" Nov 25 06:07:13.637: //3423/225C02D79687/CCAPI/ccCallDisconnect: Cause Value=21, Tag=0x0, Call Entry(Previous Disconnect Cause=0, Disconnect Cause=0) Nov 25 06:07:13.637: //3423/225C02D79687/CCAPI/ccCallDisconnect: Cause Value=21, Call Entry(Responsed=TRUE, Cause Value=21)
Также нужно иметь в виду следующий момент:
If you have dial-peers configured with session target, calls from those IPs will be accepted even if there is no trusted list configured.
Работа с Eltex
UserGate с нуля
Security
- Cisco ISE с нуля: краткая теория (Часть 1)
- Cisco ISE с нуля: Установка ISE (Часть 2)
- Cisco ISE с нуля: Краткая теория о Authentication Policies и Authorization Policies (Часть 3)
- Cisco ISE с нуля: Wireless Authentication (Часть 4)
- Cisco ISE с нуля: Настройка Web Authentication, Guest WebAuth (Часть 5)
- Cisco ISE с нуля: настройка TACACS (часть 6)
Работа с ISE 3.2
Технологии VPN
- DMVPN и EIGRP
- DMVPN и резервный ISP
- Автопереключение между двумя провайдерами
- Подключение региональных офисов с серыми адресами по VPN
- Web VPN: подключение отовсюду
- Установка AnyConnect SSLVPN на IOS Router
- Работа с ASA Anyconnect SSL VPN HUB
- ASA и Wildcard certificate
- Настройка 3G/4G на Cisco ISR 1100 LTE 4g/3g Cellular
VoIP Voice Monitoring
VoIP Troubleshooting
- Обзор Cisco Unified Comunications System Troubleshooting
- Архивирование и восстановление Cisco Call Manager CUCM
- Поиск проблем с маршрутизацией CUCM с использованием traces
- Логирование и трекинг (trace) звонков в CUCM
- Работа с RTMT
- Полезное в RTMT
- Настройка учета звонков в CUCM
- CUCM Dialed Number Analyzer
- Полезные команды UCCX
CUCM и Факсы
Архивация и восстановление CUCM
Работа с медиа-ресурсами
SIP и Call Manager
- Часть 1 Теория
- Часть 2 Настройка SIP gateway
- Часть 3 Подключение CUCM к SIP ITSP
- Часть 6 Подключение к SIP-провайдеру
- Подключение CUCM к двум и более SIP операторам с авторизацией (sipnet + telphin). CUBE Multiple Registrars
- Подключение CUCM к SIP оператору с авторизацией по нескольким учеткам одновременно. (domru, sipnet, telphin, beeline) CUBE Multiple Registrars
- Cisco CUBE и Tenants
- Работа со "сложными" провайдерами SIP IP телефонии
Работа со стендом
- Настройка Cisco Unified Comunications с нуля. Практика01: Установка CUCM
- Настройка Cisco Unified Comunications с нуля. Практика02: Установка CUC
- Настройка Cisco Unified Comunications с нуля. Практика03: Установка CUP
- Настройка Cisco Unified Comunications с нуля. Практика04: Установка UCCX
- Настройка Cisco Unified Comunications с нуля. Практика05: Установка шлюза MGCP FXO
- Настройка Cisco Unified Comunications с нуля. Практика06: Переход в другой домен AD
- Настройка Cisco Unified Comunications с нуля. Практика07: Полное восстановление кластера CUCM 8.6 из архива
- Настройка Cisco Unified Comunications. Связка CUCM10.x_UCCX10.x_Mediasence10.x_01: Описание
- Настройка Cisco Unified Comunications. Связка CUCM10.x_UCCX10.x_Mediasence10.x_02: Установка CUCM
- Настройка Cisco Unified Comunications. Связка CUCM10.x_UCCX10.x_Mediasence10.x_03: Установка UCCX
- Настройка Cisco Unified Comunications. Связка CUCM10.x_UCCX10.x_Mediasence10.x_04: Установка Mediasense
Комментарии
День добрый, поясните,
День добрый, поясните, пожалуйста, с toll-fraud - IP Address Trusted List: - указывать сети с которых идут вызовы, т.е. ip address CUCM? Или сети ip address ip phones?
Там нужно указать только
Там нужно указать только дружественные адреса SIP провайдера. CUCM необязательно, т.е. если они фигурируют в диалпирах, к ним автоматом есть доверие
понятно, спасибо.
понятно, спасибо.
Добавить комментарий