[Voice Gateway] Entendendo Toll-Fraud Prevention

A feature

A partir da versão de IOS 15.1(2)T da linha Cisco routers ISR em diante, foi adicionado a feature Toll-Fraud Prevention, sua função é para prevenir conexões/chamadas entrantes não autorizadas para o gateway.

Antes das versões 15.1(2)T, o voice gateway aceitava todas as chamadas por padrão. Era necessário realizar outros métodos para se bloquear a chamada, como por exemplo, restringir conexões via access-list.

Após a versão, agora é necessário tomar cuidado quando configurar o gateway, pois sua feature é baseada por endereços IP confiáveis que estiverem ou não em sua lista de liberação, ou trusted list. Esta feature sempre será habilitada por padrão nos gateways.

Troubleshooting

Caso sua chamada esteja recebendo desconexão de um gateway novo recém instalado,  muito provável que esta feature seja a causadora deste incidente.

Habilite o #debug voice ccapi inout. E observe se aparece os trechos "_ManagedAppProcess_FRAUD_APP" e Cause Value=21 (Esse erro refere-se a Call Rejected) como no exemplo abaixo:

Dec 16 15:15:42.089: //8405/2EAFA232BD7A/CCAPI/cc_process_call_setup_ind:

   Event=0x2B547728

Dec 16 15:15:42.089: //-1/xxxxxxxxxxxx/CCAPI/cc_setupind_match_search:

   Try with the demoted called number 5737

Dec 16 15:15:42.089: //8405/2EAFA232BD7A/CCAPI/ccCallSetContext:

   Context=0x3007694C

Dec 16 15:15:42.089: //8405/2EAFA232BD7A/CCAPI/cc_process_call_setup_ind:

   >>>>CCAPI handed cid 8405 with tag 1200 to app "_ManagedAppProcess_FRAUD_APP"

Dec 16 15:15:42.089: //8405/2EAFA232BD7A/CCAPI/ccCallDisconnect:

   Cause Value=21, Tag=0×0, Call Entry(Previous Disconnect Cause=0, Disconnect Cause=0)

Dec 16 15:15:42.089: //8405/2EAFA232BD7A/CCAPI/ccCallDisconnect:

   Cause Value=21, Call Entry(Responsed=TRUE, Cause Value=21)

Dec 16 15:15:42.089: //8405/2EAFA232BD7A/CCAPI/cc_api_get_transfer_info:

   Transfer Number Is Null

Dec 16 15:15:42.089: //8405/2EAFA232BD7A/CCAPI/cc_api_call_disconnect_done:

   Disposition=0, Interface=0x2B30BBDC, Tag=0×0, Call Id=8405,

   Call Entry(Disconnect Cause=21, Voice Class Cause Code=0, Retry Count=0)

Dec 16 15:15:42.089: //8405/2EAFA232BD7A/CCAPI/cc_api_call_disconnect_done:

   Call Disconnect Event Sent

Dec 16 15:15:42.089: //-1/xxxxxxxxxxxx/CCAPI/cc_free_feature_vsa:

Dec 16 15:15:42.089: :cc_free_feature_vsa freeing 318C4468

Dec 16 15:15:42.089: //-1/xxxxxxxxxxxx/CCAPI/cc_free_feature_vsa:

Configuração

Há três maneiras, conforme documentação:

1 – Liberação por endereço IP ou range de endereços IP para aceitar conexões, na configuração global do roteador digite o seguinte comando:

voice service voip

ip address trusted list

  ipv4 <IP_HOST> 255.255.255.255 !  <—– Caso queira libere apenas um endereço IP 

  ipv4 <IP_REDE> <MASK> !             <—– Caso queira liberar range de endereços IP

2 – Liberar tudo, caso queira liberar para qualquer conexão entrar:

voice service voip

ip address trusted list

  ipv4 0.0.0.0 0.0.0.0

3 – Desabilitar a feature, caso queira voltar como era antes dessas novas IOS:

voice service voip

no ip address trusted authenticate

Comportamento

O interessante desta feature é que tem um comportamento baseado nos destinos cadastrados, ou seja, para cada qual dial-peer voice do tipo VoIP configurada com o destination-pattern, cria-se uma entrada na trusted list. Então, apenas em casos atípicos ou complexos, como roteamento de chamadas de outros gateways ou equipamentos que o gateway não conheça porém deverá receber tal chamada, será necessário configurar uma entrada.

Em um ambiente simples, como em um cluster de Communications Manager e o(s) gateway(s), como já terá um dial-peer Voip apontando para os Communications Manager, não será necessárias mais configurações adicionais.

Mais informações acesse:

http://www.cisco.com/en/US/tech/tk652/tk90/technologies_tech_note09186a0080b3e123.shtml

Histórico de versão
Revisão #
1 de 1
Última actualização:
‎04-19-2013 09:13 AM
 
Etiquetas (1)
Comentários

Boa Guilherme !

Boa Vilarinho!!!!