KX-NS500- отваливаются внутренние SIP-телефоны.

Все о АТС Panasonic KX-NS500 и Panasonic KX-NS1000.
Открытый форум.
roklista
Без страха и упрёка
Без страха и упрёка
Сообщения: 83
Зарегистрирован: 31 окт 2019, 12:37
Благодарил (а): 33 раза
Поблагодарили: 5 раз

Re: KX-NS500- отваливаются внутренние SIP-телефоны.

Сообщение roklista » 24 май 2023, 10:29

Здравствуйте. Так в чём же была проблема?

rolf
Дурак
Дурак
Сообщения: 9
Зарегистрирован: 01 мар 2023, 06:00
Благодарил (а): 2 раза
Поблагодарили: 2 раза

Re: KX-NS500- отваливаются внутренние SIP-телефоны.

Сообщение rolf » 24 май 2023, 13:52

Оказалось, что это была DOS-атака- я оставил дырочку в файрволе для софтфона (на нестандартном порту, конечно), но злоумышленники нашли её и пытались авторизоваться. Подключиться у них не вышло, но станция просто не справлялась с таким количеством попыток авторизации. До этого год станция работала в такой конфигурации без подобных проблем. Ну и соответственно вопрос- а нет ли в самой станции настройки, которая бы блокировала ip, с которых идёт большое количество неудачных попыток авторизации или, хотя бы, в лог что-то писала или ещё как-то предупреждала об этом администратора?

НачШтаба
Сюзерен
Сюзерен
Сообщения: 224
Зарегистрирован: 15 сен 2021, 11:27
Благодарил (а): 2 раза
Поблагодарили: 40 раз

Re: KX-NS500- отваливаются внутренние SIP-телефоны.

Сообщение НачШтаба » 24 май 2023, 19:20

Может проще отбиться от козлов на роутере?... Лично у меня что-то типа аналогичной "защиты" стоит на Микротике. В "предварительный" чёрный список козлы сначала попадают по ответу "Forbidden". Ну а если козлы из чёрного списка снова козлят, но уже через пять минут, то уже в окончательный и бесповоротный бан. То есть если с паролем накололся, то за пять минут нужно вспомнить... Сначала было 10 минут, но дюже долго ждать вторую попытку, поэтому предварительный список сделал пятиминутным.
Кстати, есть "белый" список адресов и сетей. И из этих сетей с паролем можно ошибаться хоть стомильёнов раз.

rolf
Дурак
Дурак
Сообщения: 9
Зарегистрирован: 01 мар 2023, 06:00
Благодарил (а): 2 раза
Поблагодарили: 2 раза

Re: KX-NS500- отваливаются внутренние SIP-телефоны.

Сообщение rolf » 25 май 2023, 05:57

Я потом и заморочился Микротиком- настроил все эти honeypot'ы и сейчас норм. Хотя сейчас есть какой-то упорный пациент- 3 суток стучался, но меделенно- 1-2 запроса в минуту, станция это переживает без проблем.

kitsa_nik
Вассал
Вассал
Сообщения: 112
Зарегистрирован: 03 июл 2019, 12:28
Благодарил (а): 2 раза
Поблагодарили: 2 раза

Re: KX-NS500- отваливаются внутренние SIP-телефоны.

Сообщение kitsa_nik » 25 май 2023, 07:42

bravo за подробный отчет по причинам неисправности

rolf
Дурак
Дурак
Сообщения: 9
Зарегистрирован: 01 мар 2023, 06:00
Благодарил (а): 2 раза
Поблагодарили: 2 раза

Re: KX-NS500- отваливаются внутренние SIP-телефоны.

Сообщение rolf » 25 май 2023, 07:52

НачШтаба писал(а):
24 май 2023, 19:20
Может проще отбиться от козлов на роутере?... Лично у меня что-то типа аналогичной "защиты" стоит на Микротике. В "предварительный" чёрный список козлы сначала попадают по ответу "Forbidden". Ну а если козлы из чёрного списка снова козлят, но уже через пять минут, то уже в окончательный и бесповоротный бан. То есть если с паролем накололся, то за пять минут нужно вспомнить... Сначала было 10 минут, но дюже долго ждать вторую попытку, поэтому предварительный список сделал пятиминутным.
Кстати, есть "белый" список адресов и сетей. И из этих сетей с паролем можно ошибаться хоть стомильёнов раз.
А как схему с Forbidden сделать? Я на микроте сделал просто порог запросов, при превышении которого жулик отправляется в бан.
Злодеи были в основом из-за рубежа, поэтому сделал "белый список" из российских ip, но микрот слишком долго его пережёвывает и софтфон не подключается.

НачШтаба
Сюзерен
Сюзерен
Сообщения: 224
Зарегистрирован: 15 сен 2021, 11:27
Благодарил (а): 2 раза
Поблагодарили: 40 раз

Re: KX-NS500- отваливаются внутренние SIP-телефоны.

Сообщение НачШтаба » 25 май 2023, 19:44

На закладке Layer 7 Protocols указываю содержимое, в Mangle в прероутинге смотрю от списка "сип-серверов" это содержимое, и того, КОМУ направлен ответ, вношу в список... А этот самый "кому" - и есть нехороший человек.

Ответить