Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Настройка VCS Starter Pack против SIP Сканеров.

Добрый день!

Хотелось бы получить консультацию по настройке VCS Exspressway Starter Pack по предотвращению аттак SIP Сканеров.

Ситуация такая- Есть VCS с публичным IP, а также некоторое количество кодеков SX20 также с внешними IP адресами и в разных городах.

Эти кодеки постоянно являются жертвами SIP сканеров. Это можно было бы решить, отключив Sip, но так повелось что он очень нужен.

Так что нужно правильно настроить VCS, предварительно зарегистрировав кодеки на нем. Подскажите, пожалуйста, как это осуществить:)

Можем ли мы спрятать кодеки за NAT'ы разных сетей,  так что бы все работало корректно?

Возможно ли новые настройки применить только к новым 4 зарегистрированным кодекам, так чтобы эти настройки не коснулись старых зарегистрированных кодеков?

Заранее спасибо.

Теги (3)
8 ОТВЕТ.
Cisco Employee

Настройка VCS Starter Pack против SIP Скане

Лучший вариант подождать  версии x8. Ее планируется выпустить 18 декабря. В x8 мы реализуем механизм автоматической блокировки атакующего по ip. Можно будет индивидуально настроить блокировку для всех критичных коммуникаций, устанавливая число неудачных попыток доступа и длительность блокировки.

Сегодня единственная доступная опция это встроенный firewall, но с его помощью можно блокировать только уже известные адреса.

New Member

Настройка VCS Starter Pack против SIP Скане

Хм.. К сожалению на данный момент это не самый лучший вариант.. Сейчас нужно отталкиваться от того, что на данный момент мы имеем.

Как я понимаю, для начала мы регистрируем кодеки на VCS'е, а после фиксируем в истории дозвонов все IP адреса, которые нужно заблокировать? То есть полностью ручной режим?

Cisco Employee

Настройка VCS Starter Pack против SIP Скане

Если Вы спрашиваете о возможности предотвращения DOS атак, то к сожалению, это так. Надо ждать X8, либо использовать стороние средства обеспечения безопасности. (Фильтация трафика на внешнем firewall) Если речь о предотвращении не санкционированных соединений и регистраций, то это решается с помошью политик доступа и аутентификации пользователей.

New Member

Настройка VCS Starter Pack против SIP Скане

Я поясню ситуацию- дело в том, что на кодеки с публичным IP постоянно названивают абоненты с номером 100 или 101.. Как я понимаю, это просто  SIP сканеры. И это можно назвать скорее не санкционированным соединением.. Как этот вопрос решить с помощью VCS?

Cisco Employee

Настройка VCS Starter Pack против SIP Скане

Надо убрать кодеки с публичных адресов. Тогда попытки звонков Вы в логах VCS увидите, но SIP сообщения не будут доставлятьтся на устройства, соответственно кодеки не будут звонить.

New Member

Настройка VCS Starter Pack против SIP Скане

А как оформить дозвоны на сами кодеки? Через VCS и настроенные alias names?

New Member

Настройка VCS Starter Pack против SIP Скане

Нам как раз нужно дозваниваться до кодеков с SIP устройств. Как я понимаю стоит отключить Sip на них, а VCS будет транскодировать дозвоны с SIP'а на H.323. Но как VCS будет понимать, что SIP сканнера не стоит пропускать?

Cisco Employee

Настройка VCS Starter Pack против SIP Скане

Можно настроить все так как вам удобнее, но мне кажется правильным проключать соединение SIP-SIP без конвертации протоколов. Звонить надо по URI вида alias(номер)@DNSdomen или alias(номер)@ip_вашего_VCS.

Если DNS домен не совпадает с SIP и в случае дозвона по URI, включающему IP, надо еще настроить конвертацию URI в Search Rules.

285
Просмотры
0
Полезный материал
8
Ответы
СоздатьДля создания публикации, пожалуйста в систему