https://ns.opennet.dev/openforum/vsluhforumID6/202.html После настройки роутера Cisco 3725 регулярно проходят несанкционированные исходящие звонки на украинский мобильный телефонный номер (он жалуется, видимо номер где-то совпадает).<br>Звонки идут с calling number 2000 и 1000, но у нас нет таких номеров в dial-peer (внутренние номера 100-109).<br>Возможно это взлом VoIP роутера? Проверил CCO MD5 образа IOS - все совпадает с сайтом Cisco.<br><br>Звонок регистрируется на sh isdn history (деталей нет, номер видимо не полный, второй номер мой для проверки). <br><br>[code] ISDN CALL HISTORY<br>--------------------------------------------------------------------------------<br><br>Call History contains all active calls, and a maximum of 100 inactive calls.<br>Inactive call data will be retained for a maximum of 15 minutes.<br>--------------------------------------------------------------------------------<br><br>Call Calling Called Remote Seconds Seconds Seconds Charges<br>Type Number Number Name Used Left Idle Units/Currenc https://ns.opennet.dev/openforum/vsluhforumID6/202.html#9 Mon, 22 Oct 2012 15:35:29 GMT &gt; Это просто песня. Надо перебрать диапазон внешних ИП начинающихся с 89.162., люблю <br>&gt; халяву. А какая гениальная мысль вас подтолкнула использовать к качестве <br>&gt; sip bind-а FastEthernet0/0?<br>&gt; Сигнализация у вас сработала потому как дефаулт роут настрое в инет + <br>&gt; развязывающий СИП интерфейс внешний. Медиапоток по счастливой случайности (которая вас <br>&gt; и спасла) не полился - не хватило ДСП.<br>&gt; А то пришел бы четырехзначный счет разговоров с банановой республикой.<br><br>Уже закрыл дыры по voice source-group, как советовали выше. И поставил перед роутером маленький cisco PIX 501, все равно роутер тормозит с раздачей интернета (теряет первый пакет за nat'ом).<br>Но на самом деле нет в сети руководства как правильно закрыть Cisco Voice от voip fraud. Тот же voice source-group приходится изучать по оригинальным английским инструкциям на cisco.com<br>В распечатке телефонной компании были несколько исходящих звонков на номера 09712...... (Израиль), но видимо не учли, что нужно два нуля, в итоге звонок пошел на мест https://ns.opennet.dev/openforum/vsluhforumID6/202.html#8 Mon, 22 Oct 2012 14:15:16 GMT Это просто песня. Надо перебрать диапазон внешних ИП начинающихся с 89.162., люблю халяву. А какая гениальная мысль вас подтолкнула использовать к качестве sip bind-а FastEthernet0/0? <br>Сигнализация у вас сработала потому как дефаулт роут настрое в инет + развязывающий СИП интерфейс внешний. Медиапоток по счастливой случайности (которая вас и спасла) не полился - не хватило ДСП.<br>А то пришел бы четырехзначный счет разговоров с банановой республикой. <br> https://ns.opennet.dev/openforum/vsluhforumID6/202.html#7 Fri, 12 Oct 2012 13:44:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Самое интересное, у меня ведь нет лишних DSP, те что на NM <br>&gt;&gt; плате полностью используются под ISDN/FXS и не могут шариться через dspfarm <br>&gt;&gt; - следовательно из вне проходит только сигнализация в телефонную линию, сам <br>&gt;&gt; голос не проходит (это видно из-за коротких сроков соединений 5-6 сек).<br>&gt; Все не так.<br>&gt;&gt; Пошел курить voice source-group <br>&gt;&gt; Дополнительный вопрос, как можно вычислить такого хакера?<br>&gt; Есть несколько способов, например show call history voice, debug ccsip messages, debug <br>&gt; h245, show ip rtp connections, ну а правильно это делается методом <br>&gt; анализа accounting в aaa в конце концов.<br><br>Смотрел - следов нет нигде (везде только внутренние звонки), кроме как show isdn history, разве что поджидать взломщика на debug.<br> https://ns.opennet.dev/openforum/vsluhforumID6/202.html#6 Fri, 12 Oct 2012 12:58:37 GMT &gt; Спасибо!<br>&gt; Самое интересное, у меня ведь нет лишних DSP, те что на NM <br>&gt; плате полностью используются под ISDN/FXS и не могут шариться через dspfarm <br>&gt; - следовательно из вне проходит только сигнализация в телефонную линию, сам <br>&gt; голос не проходит (это видно из-за коротких сроков соединений 5-6 сек). <br><br>Все не так.<br><br>&gt; Пошел курить voice source-group <br>&gt; Дополнительный вопрос, как можно вычислить такого хакера?<br><br>Есть несколько способов, например show call history voice, debug ccsip messages, debug h245, show ip rtp connections, ну а правильно это делается методом анализа accounting в aaa в конце концов.<br> https://ns.opennet.dev/openforum/vsluhforumID6/202.html#5 Fri, 12 Oct 2012 12:49:17 GMT &gt; Если хотите правильно - читайте про voice source group.<br>&gt; Если хотите легко - повесьте acl закрывающий h.323, sip и sccp порты <br>&gt; на wan интерфейс.<br><br>Спасибо!<br>Самое интересное, у меня ведь нет лишних DSP, те что на NM плате полностью используются под ISDN/FXS и не могут шариться через dspfarm - следовательно из вне проходит только сигнализация в телефонную линию, сам голос не проходит (это видно из-за коротких сроков соединений 5-6 сек). Пошел курить voice source-group<br>Дополнительный вопрос, как можно вычислить такого хакера?<br> https://ns.opennet.dev/openforum/vsluhforumID6/202.html#4 Fri, 12 Oct 2012 11:53:38 GMT Если хотите правильно - читайте про voice source group.<br>Если хотите легко - повесьте acl закрывающий h.323, sip и sccp порты на wan интерфейс.<br> https://ns.opennet.dev/openforum/vsluhforumID6/202.html#3 Fri, 12 Oct 2012 11:52:42 GMT <br><br>&gt; За роутером стоит C3524XL-PWR (хотел транк прокинуть, но чтото не вижу swithport <br>&gt; mode trunk команды на 3725 12.4T).<br><br>Есессно, это же L3 порт наверное :)<br> https://ns.opennet.dev/openforum/vsluhforumID6/202.html#2 Fri, 12 Oct 2012 11:44:58 GMT &gt; Покажите внешний адрес шлюза, я на нем несколько денег на терминации какой-нибудь <br>&gt; Кубы заработаю.<br>&gt; А если серьезно - все происходит согласно конфигурации т. к. у Вас <br>&gt; нет ни voice source-group, ни acl на интерфейсе, ни даже техпрефиксов, <br>&gt; да и IOS 12.4 не позволяет trusted листы делать, короче раздолье <br>&gt; для VoIP fraud.<br><br>Да, по VoIP еще все не настроено как нужно, внешние ISDN BRI линии подключил буквально пару дней назад, подскажете как будет правильно закрыться по внешнему интерфейсу?<br>acl (inspection CBAC) отключил, т.к. думал что из-за него тормозит интернет за NAT (сайты грузятся оч.долго, обычный роутер типа dlink при этом работает молниеносно) но оказалось не из-за СВАС.<br>За роутером стоит C3524XL-PWR (хотел транк прокинуть, но чтото не вижу swithport mode trunk команды на 3725 12.4T).<br> https://ns.opennet.dev/openforum/vsluhforumID6/202.html#1 Fri, 12 Oct 2012 11:27:41 GMT Покажите внешний адрес шлюза, я на нем несколько денег на терминации какой-нибудь Кубы заработаю.<br><br>А если серьезно - все происходит согласно конфигурации т. к. у Вас нет ни voice source-group, ни acl на интерфейсе, ни даже техпрефиксов, да и IOS 12.4 не позволяет trusted листы делать, короче раздолье для VoIP fraud. <br>