https://opennet.me/openforum/vsluhforumID6/22136.html добрый день!<br><br>есть cisco 2801 роутер, стоит плата FXO заведены 2 СО. VoIP нет. Внутри телефоны 7911, 7 штук. Оператор сообщил, что на выходных было зарегистрирована масса звонков по международке, в рез-тате сейчас 8 нам отключили. ждем их логов. вопрос - а как это уделано? я понимаю когда ломают VoIP по H323 или SIP но чтоб СО.. cisco 2801 является роутером сети, на ней поднят DHCP. Можно извне зарегистрировать на ней телефон? конф следующий:<br><br><br>Building configuration...<br><br><br>Current configuration : 22229 bytes<br>!<br>! Last configuration change at 17:09:20 pst Mon Jan 17 2011 by xxx<br>! NVRAM config last updated at 17:09:31 pst Mon Jan 17 2011 by xxx<br>!<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname x2801<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging message-counter syslog<br>no logging buffered<br>enable secret 5 xxx<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login local_auth local<br>!<br>!<br>aaa session-id common<br>clock ti https://opennet.me/openforum/vsluhforumID6/22136.html#8 Sat, 05 May 2012 12:01:30 GMT &gt;&gt;&gt; с др стороны не было проникновения. да и на эту как могли <br>&gt;&gt;&gt; зарегистрится если внешний интерфейс закрыт акцесс листом?<br>&gt;&gt; А ЭТО что за хрень?<br>&gt;&gt; access-list 104 permit ip 0.0.0.1 255.255.255.252 any <br>&gt;&gt; Под нее слона протащить можно.....<br>&gt; сам в шоке откуда, вводил другое. так ли слона ) <br><br>адрес сети вводили-то верный, а вот вместо wildcard прямую маску написали - отсюда и подобная запись<br><br><br>&gt;[оверквотинг удален]<br>&gt;&gt; deny tcp any any eq 1720 log <br>&gt;&gt; deny tcp any any eq 2000 log <br>&gt; применил такие..<br>&gt;&gt; Перед ними, если нужно, пропишите валидные сайты...<br>&gt;&gt; Не могу вспомнить.....<br>&gt;&gt; Есть команда, типа netstat -na , позволяющая посмотреть список портов на которых <br>&gt;&gt; "слушает" железка.<br>&gt;&gt; Типа sh ip socket.. (У меня, на 28xx, не сработала...) <br>&gt;&gt; Поищите....<br>&gt; вот эту не нашел тоже, но смысл понятен. поищу <br><br> https://opennet.me/openforum/vsluhforumID6/22136.html#7 Fri, 21 Jan 2011 18:39:54 GMT &gt;&gt; с др стороны не было проникновения. да и на эту как могли <br>&gt;&gt; зарегистрится если внешний интерфейс закрыт акцесс листом?<br>&gt; А ЭТО что за хрень?<br>&gt; access-list 104 permit ip 0.0.0.1 255.255.255.252 any <br>&gt; Под нее слона протащить можно.....<br><br>сам в шоке откуда, вводил другое. так ли слона )<br><br><br><br><br>&gt; Есть несколько способов защиты от внешних подключений.<br>&gt; Я не знаю топологии, поэтому, для начала, В ЯВНОМ виде пропишите запреты <br>&gt; на SIP, H323 и SCCP в начале 104го ACL <br>&gt; deny tcp any any eq 5060 log <br>&gt; deny udp any any eq 5060 log <br>&gt; deny tcp any any eq 1720 log <br>&gt; deny tcp any any eq 2000 log <br><br>применил такие..<br><br>&gt; Перед ними, если нужно, пропишите валидные сайты...<br>&gt; Не могу вспомнить.....<br>&gt; Есть команда, типа netstat -na , позволяющая посмотреть список портов на которых <br>&gt; "слушает" железка.<br>&gt; Типа sh ip socket.. (У меня, на 28xx, не сработала...) <br>&gt; Поищите....<br><br>вот эту не нашел тоже, но смысл понятен. поищу<br><br> https://opennet.me/openforum/vsluhforumID6/22136.html#6 Thu, 20 Jan 2011 17:31:01 GMT &gt; с др стороны не было проникновения. да и на эту как могли <br>&gt; зарегистрится если внешний интерфейс закрыт акцесс листом?<br><br>А ЭТО что за хрень?<br>access-list 104 permit ip 0.0.0.1 255.255.255.252 any<br><br>Под нее слона протащить можно.....<br><br>Есть несколько способов защиты от внешних подключений.<br>Я не знаю топологии, поэтому, для начала, В ЯВНОМ виде пропишите запреты на SIP, H323 и SCCP в начале 104го ACL<br><br><br> deny tcp any any eq 5060 log<br> deny udp any any eq 5060 log<br> deny tcp any any eq 1720 log<br> deny tcp any any eq 2000 log<br><br><br>Перед ними, если нужно, пропишите валидные сайты...<br><br>Не могу вспомнить.....<br>Есть команда, типа netstat -na , позволяющая посмотреть список портов на которых "слушает" железка.<br>Типа sh ip socket.. (У меня, на 28xx, не сработала...)<br>Поищите....<br> https://opennet.me/openforum/vsluhforumID6/22136.html#5 Thu, 20 Jan 2011 14:30:14 GMT с др стороны не было проникновения. да и на эту как могли зарегистрится если внешний интерфейс закрыт акцесс листом?<br><br><br> https://opennet.me/openforum/vsluhforumID6/22136.html#4 Tue, 18 Jan 2011 20:20:03 GMT как закрыть циску от регистраций извне?<br> https://opennet.me/openforum/vsluhforumID6/22136.html#3 Tue, 18 Jan 2011 08:28:57 GMT &gt;&gt; Судя по корлисту IVR, железной тетке можно звонить на межгород, что скорее <br>&gt;&gt; и произошло.<br>&gt; звонки были международные.. и каким образом может железная тетка звони? когда там <br>&gt; скрипт на IVR на 3х значный ввод..<br><br>посмотрел трафик в статистике - во все дни, выходные и ночное время был трафик.. получается смогли подключиться к станции по IP. какие образом? как можно зарегистрироваться на ней? пароли сменил, но их и никто не знал.. сейчас проверю др станцию, они связаны по туннелю. там есть VoIP может проникновение быо с ее стороны..<br> https://opennet.me/openforum/vsluhforumID6/22136.html#2 Mon, 17 Jan 2011 18:05:38 GMT &gt; Судя по корлисту IVR, железной тетке можно звонить на межгород, что скорее <br>&gt; и произошло.<br><br>звонки были международные.. и каким образом может железная тетка звони? когда там скрипт на IVR на 3х значный ввод.. <br> https://opennet.me/openforum/vsluhforumID6/22136.html#1 Mon, 17 Jan 2011 17:52:44 GMT Судя по корлисту IVR, железной тетке можно звонить на межгород, что скорее и произошло. <br>