Пару дней назад звонил в Мегафон. Мне там в IVR предложили не ждать в очереди, а дождаться CallBack-а. Я сбросил вызов и через пару минут получил обратный звонок. Сервис меня более чем устроил.
И если вы не можете обеспечить нормальное качество сервиса по телефону, то не стоит ссылаться на то что «проблемы у всех», а решать их у себя. Я обхожу те компании, которые вынуждают меня быть недовольным их сервером.
Про соображения безопасности. Все банки, операторы связи, провайдеры интернета, телефонии и прочих услуг ВСЕГДА оказывают услуги поддержки по телефону. Вопросы безопасности решаются по-разному, но решаются. Простой способ — CallBack, посложнее — валидация данных. Поэтому этот аргумент считаю несостоятельным.
Вы заботитесь больше о своем удобстве, а не о клиенте. Конечно, гораздо лучше посадить пару технарей, обученных у Шахиджаняна печатать со скоростью 100500 символов в минуту, нежели отвечать клиенту голосом. А то вдруг еще услышите что-то типа «Не было ни единого разрыва, с ноября прошлого года, до 26 апреля сего года!». Клиент проголосует ногами. К нередким в свое время багам селектела, которые засели в печенках, у клиента может добавиться еще тот, что с ним не хотят говорить по телефону, и тот уйдет к другим. И правильно сделает.
Да, чаще всего возможности для фильтрации там отсутствуют. А если где-то и есть, то админы не заморачиваются их настраивать. Например, на шлюзе Eltex TAU8.IP, который является функциональным аналогом Cisco SPA8000, есть даже свой IPTables. Но вот как-то я не встречал, чтобы его настраивали.
По поводу внешних IP-адресов. Тут встречается разное:
— Бывает, что админ аккуратно пробрасывает все сервисные порты на роутер PAT-ом.
— Бывает, что провайдер дал какую-нибудь /29 или даже /28 сеть и одмин её пользует
— На шлюзах типа SPA2102, SPA3102, SPA122, SPA8000 есть WAN-порт, а устройство может работать как роутер. Бывает, что админ и использует его как «Роутер+VoIP» для подключения небольших филиалов к Интернету и корпоративной телефонии.
К сожалению, я не фантастику обсуждаю, а мои примеры не высосаны из пальца. Доказательство моим примерам — счета от операторов связи.
«Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью»
1) у людей, которые знакомы со словами типа VLAN проблем с безопасностью на порядки и порядки порядков меньше.
2) на цисках (не SOHO) хотя-бы есть такие вещи, как ACL. На D-Link-ах и Cisco SMB (типа сверхпопулярных PAP2T, SPA2102, SPA3102, SPA112, SPA122, SPA8000) таких вещей нет, и приходиться только верить в то, что в ПО нет таких багов.
Охх…
JDima, при всем уважении к вашей компетенции, мне кажется, что мои ответы вы читаете через строку.
Шлюз типа D-Link DVG или Cisco с FXO/E1 модулем, одним плечом (легом, диалпиром, как вам ближе) смотрит в город (PSTN), другим плечом — на станцию по SIP. Вот по второму плечу этот шлюз и может быть доступен кому угодно (особенно, на белом IP).
Админ компании вывесил шлюз D-Link DVG-6004, к которому был подключен PSTN на внешний IP-адрес. Пришел счет. Выяснилось, что в шлюзе был баг, который не аутентифицировал инвайты.
Атакующие посылали запросы, шлюз их обрабатывал и сразу устанавливал соединение через FXO порт. До PBX дело даже не доходило.
Такая же ситуация была и у счастливых обладаетелей Cisco 2651XM c NM-HDV. Похожий результат.
Про атаку из PSTN я вообще не говорю. By-default предполагается, что прозвониться через IVR на МГ/МН не возможно.
Я говорю о сетевой безопасности устройств.
Вам потребовалось подключить к IP-АТС, ну, например, 60 аналоговых окончаний. Вы выбираете шлюз: SIP или TDMoE.
Так вот когда мы рассматриваем, какой из этих шлюзов будет безопаснее, т.е. не внесет своего вклада в потенциальные уязвимости системы IP-телефонии, то здесь однозначно побеждает TDMoE, по описанным выше причинам.
Повторюсь в третий раз, я говорю не о безопасности всей телефонии, а о безопасности шлюза. Сравните безопасность, например, карточки Digium и SIP-шлюза.
Да, и кстати, шлюз не переводит SIP в TDMoE, а сразу в нем же и гонит трафик на станцию.
Речь идет не о том, что шлюз станет обеспечивать безопасность всей системы в целом. Речь идет о безопасности самого шлюза и о том, что его невозможно скомпрометировать.
Я много раз становился свидетелем следующих случаев, когда станция взламывалась:
— Из-за невыставленного пароля в веб-интерфейс шлюза
— Из-за слабого пароля, который достаточно быстро подобрали и взломали шлюз
— Из-за сравнительно сильного пароля, который подбирали долго, но из-за отсутствия систем уведомления и блокировки (типа Fail2Ban), пароль можно было подбирать и вечность.
— Из-за бага в прошивке, при котором можно было специально сформированным инвайтом заставить шлюз прозвониться без авторизации.
В случае выбора VoIP-шлюзов для Asterisk, могу порекомендовать шлюзы Parabel Asteroid. Они работают по TDMoE вместо SIP, поэтому для Астериска выглядят как обычные карточки Digium. Итого на сервер Asterisk можно без проблем подать несколько сотен аналоговых портов.
Из преимуществ:
— нативная работа с Asterisk на уровне DAHDI: соответственно, нет проблем с busy
— комбинации FXS/FXO: можно в одном шлюзе сочетать эти порты в виде 30/0, 22/8, 15/15
— абсолютная защита от кубинских хакеров: у устройства нет даже IP-адреса
— 2 года гарантии и русскоязычная техподдержка.
— дешевый эхоподавитель: стоимость устройства с эходавом всего на 10% выше такого же, но без
— ну и добивает все это дело — супернизкая цена за порт: менее 1000 рублей.
Например, наиболее популярный девайс — 8 внешних, 22 внутренних — Parabel Asteroid 22FXS/8FXO — всего 26750 рублей.. За девайс такого качества — цена просто шоколадная. Мы для своих проектов оччень активно используем.
Ну и шлюз E1-Ethernet, для Астериска от них же. Шлюз Е1 Parabel Elf за 9000 рублей. Также бывает как с программным, так и с аппаратным эхоподавителем.
А шлюзам на SIP лично я несколько не доверяю: нередкие зависания, проблемы с детекцией отбоя, периодические атаки хакеров.
Оу, живее всех живых.
FOP как такового уже нет, есть его потомок — FOP2, вполне работоспособный товарищ. А Asternic — и не собирается умирать. Платная версия приносит своим Аргентинским разработчикам по 500 американских енотов за каждую лицензию.
Ой, ну не истерите.
>>Ну конечно, как с вами сравниться, все ж сотрудники Д-Линк, QNAP & Synology идиоты, использующие старый астер
Вендоры файлопомоек воткнули аддон «Телефония» для лучшей продаваемости их железа. Безопасность их вряд ли будет интересовать.
Зато, наверное, по вашему, сообщество Asterisk и Digium — вот те идиоты, которые выпускают багфиксы и секуритификсы. Вот им нечем заняться, наверное.
>>Все админы, кроме вас конечно, обязательно открывают наружу порт 5060, не озаботясь защитой.
Нет, не все. Но таких, к сожалению, достаточно много. Астериски ломают, а потом приходится всем рассказывать, что астериск — не дырка на дырке, а админы жопорукие.
>>Никто, кроме вас конечно, не знает, что тел.линии (а не набор) бывают импульсные и тоновые.
Я уже писал ниже, что имеется в виду. Или все, аргументы закончились, повторяем из раза в раз, нашли, к чему прицепиться? Или правда, не догоняете, что мне более чем ясно, что такое физика и что такое сигнализация?
>>Может сразу изложите список того, что знате только вы, а то все окружающие сгорят со стыда из-за своей дремучести.
Простите, но судя по обсуждению, от стыда из-за своей дремучести, сгораете только вы.
И если вы не можете обеспечить нормальное качество сервиса по телефону, то не стоит ссылаться на то что «проблемы у всех», а решать их у себя. Я обхожу те компании, которые вынуждают меня быть недовольным их сервером.
Вы заботитесь больше о своем удобстве, а не о клиенте. Конечно, гораздо лучше посадить пару технарей, обученных у Шахиджаняна печатать со скоростью 100500 символов в минуту, нежели отвечать клиенту голосом. А то вдруг еще услышите что-то типа «Не было ни единого разрыва, с ноября прошлого года, до 26 апреля сего года!». Клиент проголосует ногами. К нередким в свое время багам селектела, которые засели в печенках, у клиента может добавиться еще тот, что с ним не хотят говорить по телефону, и тот уйдет к другим. И правильно сделает.
По поводу внешних IP-адресов. Тут встречается разное:
— Бывает, что админ аккуратно пробрасывает все сервисные порты на роутер PAT-ом.
— Бывает, что провайдер дал какую-нибудь /29 или даже /28 сеть и одмин её пользует
— На шлюзах типа SPA2102, SPA3102, SPA122, SPA8000 есть WAN-порт, а устройство может работать как роутер. Бывает, что админ и использует его как «Роутер+VoIP» для подключения небольших филиалов к Интернету и корпоративной телефонии.
К сожалению, я не фантастику обсуждаю, а мои примеры не высосаны из пальца. Доказательство моим примерам — счета от операторов связи.
«Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью»
2) на цисках (не SOHO) хотя-бы есть такие вещи, как ACL. На D-Link-ах и Cisco SMB (типа сверхпопулярных PAP2T, SPA2102, SPA3102, SPA112, SPA122, SPA8000) таких вещей нет, и приходиться только верить в то, что в ПО нет таких багов.
JDima, при всем уважении к вашей компетенции, мне кажется, что мои ответы вы читаете через строку.
Шлюз типа D-Link DVG или Cisco с FXO/E1 модулем, одним плечом (легом, диалпиром, как вам ближе) смотрит в город (PSTN), другим плечом — на станцию по SIP. Вот по второму плечу этот шлюз и может быть доступен кому угодно (особенно, на белом IP).
На тему безопасности IP-телефонии я проводил вебинар. Там часа 2,5-3 говорилось на эти и прочие связанные темы. Кому интересно — welcome.
Админ компании вывесил шлюз D-Link DVG-6004, к которому был подключен PSTN на внешний IP-адрес. Пришел счет. Выяснилось, что в шлюзе был баг, который не аутентифицировал инвайты.
Атакующие посылали запросы, шлюз их обрабатывал и сразу устанавливал соединение через FXO порт. До PBX дело даже не доходило.
Такая же ситуация была и у счастливых обладаетелей Cisco 2651XM c NM-HDV. Похожий результат.
Про атаку из PSTN я вообще не говорю. By-default предполагается, что прозвониться через IVR на МГ/МН не возможно.
Я говорю о сетевой безопасности устройств.
Вам потребовалось подключить к IP-АТС, ну, например, 60 аналоговых окончаний. Вы выбираете шлюз: SIP или TDMoE.
Так вот когда мы рассматриваем, какой из этих шлюзов будет безопаснее, т.е. не внесет своего вклада в потенциальные уязвимости системы IP-телефонии, то здесь однозначно побеждает TDMoE, по описанным выше причинам.
Повторюсь в третий раз, я говорю не о безопасности всей телефонии, а о безопасности шлюза. Сравните безопасность, например, карточки Digium и SIP-шлюза.
Да, и кстати, шлюз не переводит SIP в TDMoE, а сразу в нем же и гонит трафик на станцию.
Когда я говорю про абсолютную защиту, я имею в виду защиту самого шлюза, а не PBX в целом. Вроде, в прошлом комменте именно так и написал.
Я много раз становился свидетелем следующих случаев, когда станция взламывалась:
— Из-за невыставленного пароля в веб-интерфейс шлюза
— Из-за слабого пароля, который достаточно быстро подобрали и взломали шлюз
— Из-за сравнительно сильного пароля, который подбирали долго, но из-за отсутствия систем уведомления и блокировки (типа Fail2Ban), пароль можно было подбирать и вечность.
— Из-за бага в прошивке, при котором можно было специально сформированным инвайтом заставить шлюз прозвониться без авторизации.
Из преимуществ:
— нативная работа с Asterisk на уровне DAHDI: соответственно, нет проблем с busy
— комбинации FXS/FXO: можно в одном шлюзе сочетать эти порты в виде 30/0, 22/8, 15/15
— абсолютная защита от кубинских хакеров: у устройства нет даже IP-адреса
— 2 года гарантии и русскоязычная техподдержка.
— дешевый эхоподавитель: стоимость устройства с эходавом всего на 10% выше такого же, но без
— ну и добивает все это дело — супернизкая цена за порт: менее 1000 рублей.
Например, наиболее популярный девайс — 8 внешних, 22 внутренних — Parabel Asteroid 22FXS/8FXO — всего 26750 рублей.. За девайс такого качества — цена просто шоколадная. Мы для своих проектов оччень активно используем.
Ну и шлюз E1-Ethernet, для Астериска от них же. Шлюз Е1 Parabel Elf за 9000 рублей. Также бывает как с программным, так и с аппаратным эхоподавителем.
А шлюзам на SIP лично я несколько не доверяю: нередкие зависания, проблемы с детекцией отбоя, периодические атаки хакеров.
Работает у крупных клиентов, полет отличный!
Настоящий печатный станок!
FOP как такового уже нет, есть его потомок — FOP2, вполне работоспособный товарищ. А Asternic — и не собирается умирать. Платная версия приносит своим Аргентинским разработчикам по 500 американских енотов за каждую лицензию.
Валентин Твердохлеб
D-Link Украина
Консультант по проектам
vtverdohleb@dlink.ua
Работа у вас такая. Деньги за это плотють. Ну все, дальше точно можно не продолжать…
>>Ну конечно, как с вами сравниться, все ж сотрудники Д-Линк, QNAP & Synology идиоты, использующие старый астер
Вендоры файлопомоек воткнули аддон «Телефония» для лучшей продаваемости их железа. Безопасность их вряд ли будет интересовать.
Зато, наверное, по вашему, сообщество Asterisk и Digium — вот те идиоты, которые выпускают багфиксы и секуритификсы. Вот им нечем заняться, наверное.
>>Все админы, кроме вас конечно, обязательно открывают наружу порт 5060, не озаботясь защитой.
Нет, не все. Но таких, к сожалению, достаточно много. Астериски ломают, а потом приходится всем рассказывать, что астериск — не дырка на дырке, а админы жопорукие.
>>Никто, кроме вас конечно, не знает, что тел.линии (а не набор) бывают импульсные и тоновые.
Я уже писал ниже, что имеется в виду. Или все, аргументы закончились, повторяем из раза в раз, нашли, к чему прицепиться? Или правда, не догоняете, что мне более чем ясно, что такое физика и что такое сигнализация?
>>Может сразу изложите список того, что знате только вы, а то все окружающие сгорят со стыда из-за своей дремучести.
Простите, но судя по обсуждению, от стыда из-за своей дремучести, сгораете только вы.