Invasão na ICIP (sip) - Fórum Intelbras

Invasão na ICIP (sip)

Moderadores: SuporteIntelbras, Moderador

pmarcello
Membro
Mensagens: 8
Registrado em: 09 Jun 2014, 18:58

Invasão na ICIP (sip)

Mensagempor pmarcello » 16 Jun 2015, 15:45

Srs.

Como relatado já em outro tópico, estamos tendo sérios problemas com "invasão" em nossa ICIP. O cenário é o seguinte: Uma Impacta 94 com ICIP 30, Firewall Sonicwall com Internet dedicada IP fixo, Ramais IPs TIP100 e TIP200 internos e outros ramais IPs externos em local diversos conectados via DSL com IPs dinâmicos.
O ramal digital (TI) da telefonista tem recebido incessantemente ligações desse tipo de "spam/invasão" 24h por dia, quando atende fica mudo. O problema que não consigo bloquear no Pabx pelo "telefone" de origem pois varia toda hora, hora bina 100, depois 1001, 1002, 7070, 098.099.150, ... já tentei também monitorar pelo wireshark e pelo IP de origem bloquear no nosso Firewall, o que caímos no mesmo problema, o IP de origem toda hora é variado. Observei pelo wireshark que o Pabx recebe uma INVITE dessas "invasões", aceita o pacote e então processa (faz a ligação para a telefonista), o que acho errado, a ICIP não deveria aceitar/processar nenhum pacote sem antes ter feito uma autenticação, um exemplo simples e prático é um servidor FTP por exemplo que tenho nesta mesma rede, meu firewall recebe o pacote para a porta 21 executa a regra de redirecionar este pacote para o ip do servidor de ftp interno e meu servidor trata este pacote, ou seja, se alguem quiser entrar/acessar meu servidor de FTP vai ser obrigado a se autenticar, caso contrário não conseguirá enviar ou receber arquivos, listar as pastas e etc, salto é claro, ser for hackeado de alguma outra maneira, que ai já é um cenário mais complexo.

Será que a Intelbras não poderia melhorar um pouco esta questão de segurança da ICIP?
Avatar do usuário
SuporteIntelbras
Administrador
Mensagens: 6669
Registrado em: 05 Jun 2013, 12:11
Contato:

Re: Invasão na ICIP (sip)

Mensagempor SuporteIntelbras » 22 Jun 2015, 14:36

pmarcello escreveu:Srs.

Como relatado já em outro tópico, estamos tendo sérios problemas com "invasão" em nossa ICIP. O cenário é o seguinte: Uma Impacta 94 com ICIP 30, Firewall Sonicwall com Internet dedicada IP fixo, Ramais IPs TIP100 e TIP200 internos e outros ramais IPs externos em local diversos conectados via DSL com IPs dinâmicos.
O ramal digital (TI) da telefonista tem recebido incessantemente ligações desse tipo de "spam/invasão" 24h por dia, quando atende fica mudo. O problema que não consigo bloquear no Pabx pelo "telefone" de origem pois varia toda hora, hora bina 100, depois 1001, 1002, 7070, 098.099.150, ... já tentei também monitorar pelo wireshark e pelo IP de origem bloquear no nosso Firewall, o que caímos no mesmo problema, o IP de origem toda hora é variado. Observei pelo wireshark que o Pabx recebe uma INVITE dessas "invasões", aceita o pacote e então processa (faz a ligação para a telefonista), o que acho errado, a ICIP não deveria aceitar/processar nenhum pacote sem antes ter feito uma autenticação, um exemplo simples e prático é um servidor FTP por exemplo que tenho nesta mesma rede, meu firewall recebe o pacote para a porta 21 executa a regra de redirecionar este pacote para o ip do servidor de ftp interno e meu servidor trata este pacote, ou seja, se alguem quiser entrar/acessar meu servidor de FTP vai ser obrigado a se autenticar, caso contrário não conseguirá enviar ou receber arquivos, listar as pastas e etc, salto é claro, ser for hackeado de alguma outra maneira, que ai já é um cenário mais complexo.

Será que a Intelbras não poderia melhorar um pouco esta questão de segurança da ICIP?



Olá pmarcello

obrigado pela sugestão, vamos registra-la e a àrea de desenvolvimento irá avaliar a possibilidade de implementar a facilidade. Como esses ataques são realizados sob uma porta SIP "padrão" (5060), agora na versão 2.0.04 da ICIP e 3.20.03 da central é possível altera-la, de 5060 que era fixa nas versões anteriores para qualquer outra porta, 5061 por exemplo. Com certeza irá eliminar ou minimizar esses ataques.

Obs.: para realizar a atualização de firmware da central e da ICIP, siga as orientações de atualização que é disponibilizado junto com o arquivo para download no site.

http://goo.gl/EOg1ri
Nos colocamos a disposição.

--
Suporte Técnico Intelbras
(48) 2106-0006
Chat: www.intelbras.com.br/suporte.php
suporte@intelbras.com.br

Este é o seu espaço para se conectar com outros e compartilhar conhecimento.
Acesse: forum.intelbras.com.br
geraldomga
Mensagens: 1
Registrado em: 01 Mai 2015, 09:59

Re: Invasão na ICIP (sip)

Mensagempor geraldomga » 01 Mai 2017, 20:53

Boa noite.
Isso não é invasão.
Você precisa ir no programador, na opção portas_juntores e alterar o atendedor dos juntores ip´s para um ramal inexistente, ou crie um novo ramal só para esta finalidade que com certeza irá parar.
Avatar do usuário
DaniAlves
Membro
Mensagens: 59
Registrado em: 27 Abr 2013, 11:56

Re: Invasão na ICIP (sip)

Mensagempor DaniAlves » 04 Mai 2017, 08:32

geraldomga escreveu:Boa noite.
Isso não é invasão.
Você precisa ir no programador, na opção portas_juntores e alterar o atendedor dos juntores ip´s para um ramal inexistente, ou crie um novo ramal só para esta finalidade que com certeza irá parar.


Mudando somente o atendedor do Juntor IP, apenas irá minimizar a questão do ring no ramal da telefonista, porém continuará recebendo essas tentativas de invasão. O correto é colocar o Firewall na rede, e se possível, mudar a porta, como indicado anteriormente pelo suporte.
Att.

DaniAlves 8-)
Avatar do usuário
shimpato
Membro
Mensagens: 2159
Registrado em: 01 Jul 2011, 00:04
Localização: São Paulo, São Paulo, Z/L
Contato:

Re: Invasão na ICIP (sip)

Mensagempor shimpato » 09 Mai 2017, 21:06

DaniAlves escreveu:
geraldomga escreveu:Boa noite.
Isso não é invasão.
Você precisa ir no programador, na opção portas_juntores e alterar o atendedor dos juntores ip´s para um ramal inexistente, ou crie um novo ramal só para esta finalidade que com certeza irá parar.


Mudando somente o atendedor do Juntor IP, apenas irá minimizar a questão do ring no ramal da telefonista, porém continuará recebendo essas tentativas de invasão. O correto é colocar o Firewall na rede, e se possível, mudar a porta, como indicado anteriormente pelo suporte.



Olá, sou instalador certificado INTELBRAS e revenda,

eu também estava com esse problema em um cliente com IMAPCTA 140 E ICIP,
as tentativas de invasão são por causa da porta padrão SIP 5060,
eu uso o PRTG para monitorar a IMPACTA, e eram sempre IPs de fora do BRASIL, pouco eram do BRASIL, e todos de tentativas de se conectar na central, e tb configurei a impacta para bloquear (Blak list) o IP externo que está tentando se conectar na IMPACTA na primeira tentativa invalida, isso é configurável, eu optei pela primeira tentativa, minimizou mas não resolveu, então troquei a porta padrão 5060, e coloquei uma bem mais alta, e não tive mais tentativas de invasão.

Voltar para “Impacta 94”

Quem está online

Usuários neste fórum: Nenhum usuário registrado e 1 visitante