Неделю назад у нашего сотрудника тоже получалось подключиться просто по 443 TLS, но видимо когда я приехал что-то случилось. Очень похоже что ломается пакет ответа от VPN на стадии авторизации.
Я пробовал как отельный wifi (Link Egypt), так и vodafone 4G.
К сожалению сейчас нет времени особо пробовать другие методы обфусцирования траффика, так что не получится сделать нормальное исследование.
А еще если пир у вас сойдет с ума и начнет слать REGISTER с большой скоростью тоже начнет течь. Может если у вас больше 100 пиров поставить перед всем этим kamailio и заодно получить возможность зарезервировать этот asterisk?
У нас такая схема работает на очень большом количестве пиров и asterisk на которые распределяется через dispatcher.
Вот тут и начинаются проблемы. Так мы приложение начинаем заставлять решать проблемы которые решать оно не должно. С SIP можно взять Kamailio/OpenSIPS и внутри использовать любую логику распределения звонков, работы с NAT и фильтрации по правилам не пропуская весь RTP через эту ноду. Опять-же если использовать keepalived, то можно еще и в случае чего зарезервировать балансер не прерывая звонки.
В случае IAX2 мы получаем RTP и сигнализацию в одном UDP потоке (да, решать надо в 2 раза меньше проблем с NAT), но мы не можем ни добавить кастомный заголовок, ни использовать никакой балансер кроме Asterisk.
Да и проблемы с NAT и SIP/RTP на мой взгляд сильно преувеличены, сейчас есть уже стандартные способы решения их.
А как load balancing делать? С SIP можно иметь разные пути голоса и сигнализации, а IAX2 не может такого. Ну и дополнительно нет расширений, доп заголовков и приколочено гвоздями к Asterisk
STIR/SHAKEN не решает этой проблемы. SIP провайдер просто подтверждает что они считают что этот номер принадлежит этому кастомеру. Так что если оператор будет говорить что звонок соответствует «Full Attestation» ничего не поменяется. Просто цены на терминацию спам трафика немного поднимутся.
In this case the STIR will validate correctly, and stopping such calls will have to be done at a higher level, through key revocation or similar.
FCC требует от крупных операторов включить STIR/SHAKEN не позднее июля 2021
Мы нанимаем так людей. Вначале удаленное интервью по zoom во время которого идет обсуждение технологий и опыта, потом второе уже лично в офисе когда показывается код, инфраструктура и прочее и уже сразу делается оффер. Некоторых людей это даже несколько пугает что нет многочасовых раскрашиваний деревьев.
Люди скорее заняты накручиванием своих метрик по типу tickets per day. И в такой атмосфере получается внутренний диалог:
— Блин, я же токен от другого аккаунта могу вставить куда угодно, проблема
— Да пофигу, щас напишу в тикете что косяк, потом прикопаются на ревью что слишком много тикетов возвращаю назад. Сделаю все по чертежу и если что скажу что написали, то и получили. Следующий тикет!
А своя голова у программистов работает исключительно на расчет как используя наименьшие усилия закрыть тикет?
В данном случае цепочка исполнителей простой задачи «сделать API ключи для карт» полностью провалила задание (если их можно использовать без ограничения, то смысла в них как в двери без стен) рассуждая на каждой ступени примерно так «ну это же должны решать те кто выше». А потом это отдали Billing team которые посчитали что «не, ну защиту API ключей сделали в API team».
При этом тут нельзя сказать что программисты сделали все правильно, такую очевидную проблему в безопасности очень сложно пропустить если не идти по принципу «а мне больше всех надо чтоль?»
Это попытка снять с себя ответственность и с одной стороны сказать «я творческая личность и хочу творить», а с другой «а что вы хотели еще и замок в дверь вставить? Может еще и стены вокруг сделать чтоб не обнесли?!».
В последнее время (лет 5-7) вообще какой-то шквал такого инфантильного отношения к своей работе из серии «я тут ничего не решаю, поэтому мне безразлично».
Тут скорее проблема в том, что многие программисты не будут никогда использовать то, что они делают. Поэтому автоматически на многие кейсы выключают мозг. Я сам видел (и продолжаю довольно часто видеть) JOIN 4х таблиц по 1-5M записей так как на их стендах все было почищено и в табличках по 100 записей максимум. А на вопрос «почему такое решение было выбрано» я получаю ответ «ну так же быстрее и красивее».
это не в SIP, SIP это всего-лишь протокол сигнализации очень похожий по своей структуре на HTTP.
Оператор получает звонок от оператора с которым у него пиринг и выставляет ему счет на количество минут. По большей степени (если не брать европу с их surcharges для звонков из non-eu или экзотические правила регуляции в Saudi Arabia например) ему без разницы что прислали во From.
Некоторые операторы запрещают им слать звонки из номерной емкости которая принадлежит им-же, но таких немного.
По поводу звонок-сброс это очень старая схема которую изобрели в Японии
Wangiri (literally, «One (ring) and cut») from Japan where it originated.
Смысл ее в том, что в большинстве стран оплата идет только за длительность разговора, а не за сам факт. Поскольку входящий звонок зачастую стоит гораздо меньше исходящего (по факту оператор получает деньги как с того кто послал звонок, так и с того кто получил), можно сгенерировать миллионы звонков не заплатив почти ничего и получить обратно дешевые ответы от перезвонивших.
Пример с SMS ударил больше по легитимным пользователям, а спамеры как пользовались мусорными исходящими номерами так и продолжают.
Я еще раз повторюсь, для оборудования это 2 разных сущности. Тот номер что вы видите у себя на телефоне когда к нему приходит входящий вызов это всего-лишь цифры которые, в большинстве случаев, отправил оператор связи того кто вызывает. И когда вы совершаете исходящий звонок ваш телефон не отправляет напрямую номер, это делает уже ваш оператор связи.
Вообще попытки связать все вместе для удобства административного давления (и в некоторых случаях для удобства «конкурентной борьбы») рождают чудовищ вида STIR/SHAKEN
Можете объяснить понятие «подмена номера (CallerID)»?
В нашем сознании есть искажение которое соединяет 2 сущности (исходящая линия и входящая) в единую на базе набора цифр (callerid). В реальности телефония уже давно ушла из концепции «девушка мне Смольный» и могут быть такие ситуации когда один коллцентр отправляет исходящие звонки, а другой принимает обратные звонки.
Абонентское устройство может и не иметь возможности принимать обратно звонки (домофоны например) а их CLI быть всего-лишь набором цифр или вообще «anonymous».
У нас доступ ко всей инфраструктуре идет через VPN, так-же у меня через него прокинут доступ за NAT к моим серверам.
У меня резался.
Так-же зависал на стадии Authenticating и пакет ответа от сервера не приходил
Неделю назад у нашего сотрудника тоже получалось подключиться просто по 443 TLS, но видимо когда я приехал что-то случилось. Очень похоже что ломается пакет ответа от VPN на стадии авторизации.
Я пробовал как отельный wifi (Link Egypt), так и vodafone 4G.
К сожалению сейчас нет времени особо пробовать другие методы обфусцирования траффика, так что не получится сделать нормальное исследование.
Да, сейчас нахожусь в египте. Работает только через obfsproxy, ssh tunnel. Shadowsock еще не пробовал. 443 tls ломается на фазе автоиизации
И ни одного теста
В таком режиме это вылезет рано или поздно, мало кто сможет равномерно распределять свою работу между двумя и более задачами. Так или иначе вылезет.
А еще если пир у вас сойдет с ума и начнет слать REGISTER с большой скоростью тоже начнет течь. Может если у вас больше 100 пиров поставить перед всем этим kamailio и заодно получить возможность зарезервировать этот asterisk?
У нас такая схема работает на очень большом количестве пиров и asterisk на которые распределяется через dispatcher.
В случае IAX2 мы получаем RTP и сигнализацию в одном UDP потоке (да, решать надо в 2 раза меньше проблем с NAT), но мы не можем ни добавить кастомный заголовок, ни использовать никакой балансер кроме Asterisk.
Да и проблемы с NAT и SIP/RTP на мой взгляд сильно преувеличены, сейчас есть уже стандартные способы решения их.
Может оператора voip поменять?
А как load balancing делать? С SIP можно иметь разные пути голоса и сигнализации, а IAX2 не может такого. Ну и дополнительно нет расширений, доп заголовков и приколочено гвоздями к Asterisk
FCC требует от крупных операторов включить STIR/SHAKEN не позднее июля 2021
В данном случае цепочка исполнителей простой задачи «сделать API ключи для карт» полностью провалила задание (если их можно использовать без ограничения, то смысла в них как в двери без стен) рассуждая на каждой ступени примерно так «ну это же должны решать те кто выше». А потом это отдали Billing team которые посчитали что «не, ну защиту API ключей сделали в API team».
При этом тут нельзя сказать что программисты сделали все правильно, такую очевидную проблему в безопасности очень сложно пропустить если не идти по принципу «а мне больше всех надо чтоль?»
В последнее время (лет 5-7) вообще какой-то шквал такого инфантильного отношения к своей работе из серии «я тут ничего не решаю, поэтому мне безразлично».
Оператор получает звонок от оператора с которым у него пиринг и выставляет ему счет на количество минут. По большей степени (если не брать европу с их surcharges для звонков из non-eu или экзотические правила регуляции в Saudi Arabia например) ему без разницы что прислали во From.
Некоторые операторы запрещают им слать звонки из номерной емкости которая принадлежит им-же, но таких немного.
По поводу звонок-сброс это очень старая схема которую изобрели в Японии Смысл ее в том, что в большинстве стран оплата идет только за длительность разговора, а не за сам факт. Поскольку входящий звонок зачастую стоит гораздо меньше исходящего (по факту оператор получает деньги как с того кто послал звонок, так и с того кто получил), можно сгенерировать миллионы звонков не заплатив почти ничего и получить обратно дешевые ответы от перезвонивших.
Пример с SMS ударил больше по легитимным пользователям, а спамеры как пользовались мусорными исходящими номерами так и продолжают.
Я еще раз повторюсь, для оборудования это 2 разных сущности. Тот номер что вы видите у себя на телефоне когда к нему приходит входящий вызов это всего-лишь цифры которые, в большинстве случаев, отправил оператор связи того кто вызывает. И когда вы совершаете исходящий звонок ваш телефон не отправляет напрямую номер, это делает уже ваш оператор связи.
Вообще попытки связать все вместе для удобства административного давления (и в некоторых случаях для удобства «конкурентной борьбы») рождают чудовищ вида STIR/SHAKEN
А Callerid name в России вообще недоступен.
В нашем сознании есть искажение которое соединяет 2 сущности (исходящая линия и входящая) в единую на базе набора цифр (callerid). В реальности телефония уже давно ушла из концепции «девушка мне Смольный» и могут быть такие ситуации когда один коллцентр отправляет исходящие звонки, а другой принимает обратные звонки.
Абонентское устройство может и не иметь возможности принимать обратно звонки (домофоны например) а их CLI быть всего-лишь набором цифр или вообще «anonymous».