отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
1406
Просмотры
0
Полезный материал
8
Ответы
Razumets17
Beginner

Настройка VCS Starter Pack против SIP Сканеров.

Добрый день!

Хотелось бы получить консультацию по настройке VCS Exspressway Starter Pack по предотвращению аттак SIP Сканеров.

Ситуация такая- Есть VCS с публичным IP, а также некоторое количество кодеков SX20 также с внешними IP адресами и в разных городах.

Эти кодеки постоянно являются жертвами SIP сканеров. Это можно было бы решить, отключив Sip, но так повелось что он очень нужен.

Так что нужно правильно настроить VCS, предварительно зарегистрировав кодеки на нем. Подскажите, пожалуйста, как это осуществить:)

Можем ли мы спрятать кодеки за NAT'ы разных сетей,  так что бы все работало корректно?

Возможно ли новые настройки применить только к новым 4 зарегистрированным кодекам, так чтобы эти настройки не коснулись старых зарегистрированных кодеков?

Заранее спасибо.

8 ОТВЕТ 8
Sergey Yutsaytis
Cisco Employee

Лучший вариант подождать  версии x8. Ее планируется выпустить 18 декабря. В x8 мы реализуем механизм автоматической блокировки атакующего по ip. Можно будет индивидуально настроить блокировку для всех критичных коммуникаций, устанавливая число неудачных попыток доступа и длительность блокировки.

Сегодня единственная доступная опция это встроенный firewall, но с его помощью можно блокировать только уже известные адреса.

Хм.. К сожалению на данный момент это не самый лучший вариант.. Сейчас нужно отталкиваться от того, что на данный момент мы имеем.

Как я понимаю, для начала мы регистрируем кодеки на VCS'е, а после фиксируем в истории дозвонов все IP адреса, которые нужно заблокировать? То есть полностью ручной режим?

Если Вы спрашиваете о возможности предотвращения DOS атак, то к сожалению, это так. Надо ждать X8, либо использовать стороние средства обеспечения безопасности. (Фильтация трафика на внешнем firewall) Если речь о предотвращении не санкционированных соединений и регистраций, то это решается с помошью политик доступа и аутентификации пользователей.

Я поясню ситуацию- дело в том, что на кодеки с публичным IP постоянно названивают абоненты с номером 100 или 101.. Как я понимаю, это просто  SIP сканеры. И это можно назвать скорее не санкционированным соединением.. Как этот вопрос решить с помощью VCS?

Надо убрать кодеки с публичных адресов. Тогда попытки звонков Вы в логах VCS увидите, но SIP сообщения не будут доставлятьтся на устройства, соответственно кодеки не будут звонить.

А как оформить дозвоны на сами кодеки? Через VCS и настроенные alias names?

Нам как раз нужно дозваниваться до кодеков с SIP устройств. Как я понимаю стоит отключить Sip на них, а VCS будет транскодировать дозвоны с SIP'а на H.323. Но как VCS будет понимать, что SIP сканнера не стоит пропускать?

Можно настроить все так как вам удобнее, но мне кажется правильным проключать соединение SIP-SIP без конвертации протоколов. Звонить надо по URI вида alias(номер)@DNSdomen или alias(номер)@ip_вашего_VCS.

Если DNS домен не совпадает с SIP и в случае дозвона по URI, включающему IP, надо еще настроить конвертацию URI в Search Rules.