Pull to refresh

Comments 33

Вот чего подобным статьям не хватает — так это конкретных примеров оборудование. Например: «вот такая-то модель отвечает всем этим требованиям, но вот по данному требованию у нее не очень хорошо — т.ч. ее брать не стал бы» или «вот такая-то и такая-то модель в той или иной степени отвечают приведенным критериям».
Да потому что сколько людей, столько и мнений. Плюс у кого-то есть просто предвзятое отношение к вендорам. Знаете сколько раз встречал людей, которые кипятком писают от слова cisco(ну и linksys, раз речь про voip), при этом криво смотрят на какой-нибудь dlink и им совершенно наплевать на характеристики устройств. И начнется в коментах очередной холивар. Кому надо — сами почитают и выберут.
Ну да, тут приходится согласиться: Cisco SMB (он же Linksys) не сказать что сильно-сильно отличается от D-Link.
А что, думаете, что они сильно отличаются? Если да, то чем именно?
Абсолютно корректно сравнили. А если говорить про FXO, то я предпочту dlink.
Ну а что тут пИсать то. Кучу dlink'ов выбросил. Не могут даже в официальном сервисе сделать. Блоки питания у dlink'ов это вообще отдельный разговор. linksys'ы (FXS) как поставил 5 лет назад — так и стоят. И дешевле SPA8000 в расчете рубли за порт нету ничего.
А FXO перепробовал всё и остановился на openVox'овских картах. И oslec нормально работает.
однажды увидел стену, как поленница уставленную коробками с бракованными Cisco — это зрелище позволяет избавиться от этого стереотипа на всю жизнь
Люди, которые «кипятком писают от слова cisco», никогда всерьез не работали с их железом и софтом.

Однако, у конкурентов в общем и целом дела обстоят даже хуже. Плюс — у цискиных продуктов масса не совсем технических преимуществ вроде первоклассной документации, официально лучшего в мире саппорта, гибкости конфигурации и траблшутинга. Ну и да, в общем и целом их продукция весьма надежна — у меня волосы дыбом встают, когда я слышу нечто вроде «эта дэлинковская железка надежна, она всего лишь раз в месяц зависает с необходимостью дернуть ее по питанию».

Вот только Linksys никогда не был и уже никогда не будет Cisco. Шильдик есть, но по факту это тот же самый унылый SOHO.
Так как писал для получения приглашения, то специально это не указывал.
Если не используются факсы, и с деньгами не особо напряжно, для дома можно взять DECT IP-ТА и забыть об аналоговом шуме, который имеет место быть даже на коротеньком участочке линии от шлюза до ТА.
Мне всегда нравились Cisco/Linksys и Addpac. Вторые находил даже в батареях у клиентов. Те даже не знали что у них IP телефония. И работали годами.
А вообще мне кажется с астером можно подружить почти все что угодно, кроме dlink. 32портовые шлюзы их ужасны(виснут, глючат, греются)

Кстати кто слышал на что spa2102 и подобные заменили? И как они в бою, эти замены?
AudioCodes не пробовал? Кстати AddPack до определенного времени DSP именно AudioCodes использовал. SPA2102 заменили на 122. Если нужны 122 много и дешево, могу сказать где есть.
Да нет просто было интересно как они работают. Я сейчас вообще мало сталкиваюсь с телефонией. Все больше web, ha и highload. А интересуюсь потому что иногда спрашивают знакомые.
AudioCodes не пробовал?

Audiocodes — более-менее недорого, вполне сердито, относительно стабильно (хотя есть претензии), но… Скажем так, цискин ISR или тем более ASR стоит дороже, но он того стоит. Это и более гибкая манипуляция голосом (как CUBE (чистый IP-IP шлюз), так и шлюз между FXO/PRI/IP); и превосходные дебаги, читаемые не только сотрудником поддержки, но и администратором; и масштабная документация; и куча дополнительного функционала вплоть до EEM/TCL. У медиантов со всем этим очень печально.

Вы, кстати, случайно не в одном из вендоров работаете?
Ну где я работаю оставим за кадром. Могу лишь сказать, что после CCNP тема Cisco стала менее интересна. Более того, я второй сертифицированный специалист по AcmePacket (ныне Oracle) в РФ. Первый, кстати, уже в американском AT&T работает давно, имею сертификаты по AudioCodes. Но если честно, уже давно перестал предавать всем этим сертификатам значение. Относительно шлюзов Cisco, если честно, ничего хорошего сказать не могу. Если интересно почему — пиши в личную. Но для меня Cisco, как голосовой вендор, умерла после EoL PGW 2200 и 2811. Кстати был один из лучших, если не лучший маршрутизатор SS7.
В случае выбора VoIP-шлюзов для Asterisk, могу порекомендовать шлюзы Parabel Asteroid. Они работают по TDMoE вместо SIP, поэтому для Астериска выглядят как обычные карточки Digium. Итого на сервер Asterisk можно без проблем подать несколько сотен аналоговых портов.
Из преимуществ:
— нативная работа с Asterisk на уровне DAHDI: соответственно, нет проблем с busy
— комбинации FXS/FXO: можно в одном шлюзе сочетать эти порты в виде 30/0, 22/8, 15/15
— абсолютная защита от кубинских хакеров: у устройства нет даже IP-адреса
— 2 года гарантии и русскоязычная техподдержка.
— дешевый эхоподавитель: стоимость устройства с эходавом всего на 10% выше такого же, но без
— ну и добивает все это дело — супернизкая цена за порт: менее 1000 рублей.
Например, наиболее популярный девайс — 8 внешних, 22 внутренних — Parabel Asteroid 22FXS/8FXO — всего 26750 рублей.. За девайс такого качества — цена просто шоколадная. Мы для своих проектов оччень активно используем.

Ну и шлюз E1-Ethernet, для Астериска от них же. Шлюз Е1 Parabel Elf за 9000 рублей. Также бывает как с программным, так и с аппаратным эхоподавителем.

А шлюзам на SIP лично я несколько не доверяю: нередкие зависания, проблемы с детекцией отбоя, периодические атаки хакеров.
абсолютная защита от кубинских хакеров

Но как? В смысле — каким образом можно похакать голосовой шлюз снаружи?

Рассмотрим два варианта.
1) Наружу (в сторону оператора связи) смотрит SIP. Скажем, берется внешняя IP телефония, а внутри организации используется иное — обычно бывает наоборот, ну да ладно. А не плевать ли тогда с точки зрения кулхацкеров, что будет на внутренней стороне? До шлюза/астериска они все равно добираются сразу же, если не получается фильтровать входящие запросы на уровне сетевого стека или внешнего файрвола. Он по определению не может не иметь внешнего адреса.
2) Наружу смотрит E1/FXO/что угодно. Собственно, это пуленепробиваемо, если администратор не сделает какую-нибудь очень большую глупость.

По атакам изнутри сети — суть не меняется. И в любом случае не имеет никакого значения, каким образом шлюз соединен с PBX — кроссбаром внутри шасси, по L2 или по L3.

Так откуда взялась безопасность?
Речь идет не о том, что шлюз станет обеспечивать безопасность всей системы в целом. Речь идет о безопасности самого шлюза и о том, что его невозможно скомпрометировать.

Я много раз становился свидетелем следующих случаев, когда станция взламывалась:
— Из-за невыставленного пароля в веб-интерфейс шлюза
— Из-за слабого пароля, который достаточно быстро подобрали и взломали шлюз
— Из-за сравнительно сильного пароля, который подбирали долго, но из-за отсутствия систем уведомления и блокировки (типа Fail2Ban), пароль можно было подбирать и вечность.
— Из-за бага в прошивке, при котором можно было специально сформированным инвайтом заставить шлюз прозвониться без авторизации.
Еще раз:
1) Если в сторону провайдера должен смотреть SIP, то вот он, вектор атаки, и без возможности фильтровать на уровне IP по белому списку ничего тут особо не сделаешь. Причем тут шлюз? Наружу всегда будет светиться адрес, иначе SIP работать не будет.
2) Если в сторону провайдера должен смотреть E1/FXO, то невозможно через него похакать железку.

Я много раз становился свидетелем следующих случаев, когда станция взламывалась:

Ну мы же вроде не про идиотов говорим, которые не могут обеспечить даже базовую безопасность (например, в виде запрета любого рода management из недоверенной сети) и которые не следят за security advisories, верно?
Еще раз:
Когда я говорю про абсолютную защиту, я имею в виду защиту самого шлюза, а не PBX в целом. Вроде, в прошлом комменте именно так и написал.
Стоп. Вы говорите про шлюзы, которые «работают по TDMoE вместо SIP», т.е. снаружи у них FXO или E1, внутреннее общение с PBX идет по TDMoE вместо SIP. Так о какой защите вообще идет речь? Внешняя сторона у него в любом случае непробиваема, так как не IP. А с внутренней стороны шлюз уже никому не нужен — PBX открыт, он вкуснее.

А шлюз, переводящий SIP в нечто TDMное и кидающее на IP PBX вообще является чем-то, мягко говоря, странным.
Объясняю.

Вам потребовалось подключить к IP-АТС, ну, например, 60 аналоговых окончаний. Вы выбираете шлюз: SIP или TDMoE.
Так вот когда мы рассматриваем, какой из этих шлюзов будет безопаснее, т.е. не внесет своего вклада в потенциальные уязвимости системы IP-телефонии, то здесь однозначно побеждает TDMoE, по описанным выше причинам.
Повторюсь в третий раз, я говорю не о безопасности всей телефонии, а о безопасности шлюза. Сравните безопасность, например, карточки Digium и SIP-шлюза.

Да, и кстати, шлюз не переводит SIP в TDMoE, а сразу в нем же и гонит трафик на станцию.
60 аналоговых окончаний

Так вот когда мы рассматриваем, какой из этих шлюзов будет безопаснее

Безопасность у них идентичная, потому что в любом случае связь до абонентов (откуда и пойдет атака) будет аналоговая. Если будет шлюз FXO=>SIP, то наличие у него IP адреса ну совсем никак не позволит кому-то послать INVITE на этот адрес из PSTN.
Сравните безопасность, например, карточки Digium и SIP-шлюза.

Так то же самое. Атака будет направлена из PSTN. Оттуда невозможно добраться до любого рода IP адресов. Если атака и удастся, то во всех случаях благодаря косяку настройки PBX (условно: IVR говорит «наберите добавочный» и при этом не проверяет, реально ли это просто добавочный, а не международный номер).

Так что кто-то что-то явно не понимает. Опишите, как вы видите атаку извне на шлюз, переводящий E1 от провайдера в SIP до PBX.
Описываю ситуацию из реальной жизни.

Админ компании вывесил шлюз D-Link DVG-6004, к которому был подключен PSTN на внешний IP-адрес. Пришел счет. Выяснилось, что в шлюзе был баг, который не аутентифицировал инвайты.
Атакующие посылали запросы, шлюз их обрабатывал и сразу устанавливал соединение через FXO порт. До PBX дело даже не доходило.

Такая же ситуация была и у счастливых обладаетелей Cisco 2651XM c NM-HDV. Похожий результат.

Про атаку из PSTN я вообще не говорю. By-default предполагается, что прозвониться через IVR на МГ/МН не возможно.
Я говорю о сетевой безопасности устройств.
подключен PSTN на внешний IP-адрес

С этого места поподробнее. У PSTN никаких IP адресов не существует.
Если наружу смотрел SIP, то никакого TDMoE, как вы говорили, на внутреннем плече шлюза не будет.
Может, пора уже в Jabber? А то этот междусобойчик может закончиться комментов через 50. Мой контакт — в профиле.

На тему безопасности IP-телефонии я проводил вебинар. Там часа 2,5-3 говорилось на эти и прочие связанные темы. Кому интересно — welcome.
Я специализируюсь в том числе и на безопасности телефонии. Но если вы не в силах даже внятно ответить на вопрос «откуда взялись атаки на SIP, если наружу смотрит PSTN» и считаете, что у PSTN бывает IP адрес, то есть ли смысл продолжать общение?
Охх…
JDima, при всем уважении к вашей компетенции, мне кажется, что мои ответы вы читаете через строку.

Шлюз типа D-Link DVG или Cisco с FXO/E1 модулем, одним плечом (легом, диалпиром, как вам ближе) смотрит в город (PSTN), другим плечом — на станцию по SIP. Вот по второму плечу этот шлюз и может быть доступен кому угодно (особенно, на белом IP).
другим плечом — на станцию по SIP. Вот по второму плечу этот шлюз и может быть доступен кому угодно

Уже понятнее (вы, кстати, ни словом про это не обмолвились). Но возникают закономерный вопросы:
1) Если адрес глобально маршрутизируемый, то значит, L2 транспорт не годится, нужен роутинг. Иначе не надо задействовать глобально маршрутизируемый адрес для подобного обмена. Можно (и нужно) обойтись отдельным внутренним VLANом.
2) Каким местом должен думать человек, не прикрывающий способный принять SIP инвайты интерфейс хотя бы банальным ACLом (так как адреса станций заранее известны) и не запрещающий SIP/UDP поверх недоверенных сетей? В более-менее современных IOSах (начиная с 15-х кажется) включена по умолчанию опция, напрочь запрещающая прием любых вызовов по IP откуда угодно. Это, кстати, многим потрепало нервы, кто не читает release notes до обновления. Предлагается либо дописать в список разрешенные адреса, либо отключить эту опцию.
1) у людей, которые знакомы со словами типа VLAN проблем с безопасностью на порядки и порядки порядков меньше.
2) на цисках (не SOHO) хотя-бы есть такие вещи, как ACL. На D-Link-ах и Cisco SMB (типа сверхпопулярных PAP2T, SPA2102, SPA3102, SPA112, SPA122, SPA8000) таких вещей нет, и приходиться только верить в то, что в ПО нет таких багов.
Я правильно понимаю, что SMB устройства не умеют фильтровать SIP запросы по IP адресам? Вариантов ведь много: как на уровне процесса (в терминах IOS — «ip address trusted»), так и на уровне сетевого стека (IOS — ACL/ZBF/иное).

А еще SMB фирмы чаще всего не такие буржуи, чтобы назначать глобально маршрутизируемые адреса внутренним хостам, тем более тем, которые вообще не должны общаться с внешним миром. А те, кто могут себе это позволить, не станут ставить дэлинки и линксисы. Так что на самом деле в типичной SOHO инфраструктуре наружу будет смотреть нечто с PAT, сквозь который не пройдет то, что умышленно не разрешат. А никто не станет создавать статические NAT трансляции для шлюза, который не должен общаться с внешним миром по SIP.

В общем, вы какую-то немыслимую фантастику обсуждаете. В реальности подключение шлюза к PBX по IP не позволит его похакать.
Да, чаще всего возможности для фильтрации там отсутствуют. А если где-то и есть, то админы не заморачиваются их настраивать. Например, на шлюзе Eltex TAU8.IP, который является функциональным аналогом Cisco SPA8000, есть даже свой IPTables. Но вот как-то я не встречал, чтобы его настраивали.

По поводу внешних IP-адресов. Тут встречается разное:
— Бывает, что админ аккуратно пробрасывает все сервисные порты на роутер PAT-ом.
— Бывает, что провайдер дал какую-нибудь /29 или даже /28 сеть и одмин её пользует
— На шлюзах типа SPA2102, SPA3102, SPA122, SPA8000 есть WAN-порт, а устройство может работать как роутер. Бывает, что админ и использует его как «Роутер+VoIP» для подключения небольших филиалов к Интернету и корпоративной телефонии.

К сожалению, я не фантастику обсуждаю, а мои примеры не высосаны из пальца. Доказательство моим примерам — счета от операторов связи.
«Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью»
Sign up to leave a comment.

Articles