Página 1 de 1

Invasão na ICIP (sip)

Enviado: 16 Jun 2015, 15:45
por pmarcello
Srs.

Como relatado já em outro tópico, estamos tendo sérios problemas com "invasão" em nossa ICIP. O cenário é o seguinte: Uma Impacta 94 com ICIP 30, Firewall Sonicwall com Internet dedicada IP fixo, Ramais IPs TIP100 e TIP200 internos e outros ramais IPs externos em local diversos conectados via DSL com IPs dinâmicos.
O ramal digital (TI) da telefonista tem recebido incessantemente ligações desse tipo de "spam/invasão" 24h por dia, quando atende fica mudo. O problema que não consigo bloquear no Pabx pelo "telefone" de origem pois varia toda hora, hora bina 100, depois 1001, 1002, 7070, 098.099.150, ... já tentei também monitorar pelo wireshark e pelo IP de origem bloquear no nosso Firewall, o que caímos no mesmo problema, o IP de origem toda hora é variado. Observei pelo wireshark que o Pabx recebe uma INVITE dessas "invasões", aceita o pacote e então processa (faz a ligação para a telefonista), o que acho errado, a ICIP não deveria aceitar/processar nenhum pacote sem antes ter feito uma autenticação, um exemplo simples e prático é um servidor FTP por exemplo que tenho nesta mesma rede, meu firewall recebe o pacote para a porta 21 executa a regra de redirecionar este pacote para o ip do servidor de ftp interno e meu servidor trata este pacote, ou seja, se alguem quiser entrar/acessar meu servidor de FTP vai ser obrigado a se autenticar, caso contrário não conseguirá enviar ou receber arquivos, listar as pastas e etc, salto é claro, ser for hackeado de alguma outra maneira, que ai já é um cenário mais complexo.

Será que a Intelbras não poderia melhorar um pouco esta questão de segurança da ICIP?

Re: Invasão na ICIP (sip)

Enviado: 22 Jun 2015, 14:36
por SuporteIntelbras
pmarcello escreveu:Srs.

Como relatado já em outro tópico, estamos tendo sérios problemas com "invasão" em nossa ICIP. O cenário é o seguinte: Uma Impacta 94 com ICIP 30, Firewall Sonicwall com Internet dedicada IP fixo, Ramais IPs TIP100 e TIP200 internos e outros ramais IPs externos em local diversos conectados via DSL com IPs dinâmicos.
O ramal digital (TI) da telefonista tem recebido incessantemente ligações desse tipo de "spam/invasão" 24h por dia, quando atende fica mudo. O problema que não consigo bloquear no Pabx pelo "telefone" de origem pois varia toda hora, hora bina 100, depois 1001, 1002, 7070, 098.099.150, ... já tentei também monitorar pelo wireshark e pelo IP de origem bloquear no nosso Firewall, o que caímos no mesmo problema, o IP de origem toda hora é variado. Observei pelo wireshark que o Pabx recebe uma INVITE dessas "invasões", aceita o pacote e então processa (faz a ligação para a telefonista), o que acho errado, a ICIP não deveria aceitar/processar nenhum pacote sem antes ter feito uma autenticação, um exemplo simples e prático é um servidor FTP por exemplo que tenho nesta mesma rede, meu firewall recebe o pacote para a porta 21 executa a regra de redirecionar este pacote para o ip do servidor de ftp interno e meu servidor trata este pacote, ou seja, se alguem quiser entrar/acessar meu servidor de FTP vai ser obrigado a se autenticar, caso contrário não conseguirá enviar ou receber arquivos, listar as pastas e etc, salto é claro, ser for hackeado de alguma outra maneira, que ai já é um cenário mais complexo.

Será que a Intelbras não poderia melhorar um pouco esta questão de segurança da ICIP?



Olá pmarcello

obrigado pela sugestão, vamos registra-la e a àrea de desenvolvimento irá avaliar a possibilidade de implementar a facilidade. Como esses ataques são realizados sob uma porta SIP "padrão" (5060), agora na versão 2.0.04 da ICIP e 3.20.03 da central é possível altera-la, de 5060 que era fixa nas versões anteriores para qualquer outra porta, 5061 por exemplo. Com certeza irá eliminar ou minimizar esses ataques.

Obs.: para realizar a atualização de firmware da central e da ICIP, siga as orientações de atualização que é disponibilizado junto com o arquivo para download no site.

http://goo.gl/EOg1ri

Re: Invasão na ICIP (sip)

Enviado: 01 Mai 2017, 20:53
por geraldomga
Boa noite.
Isso não é invasão.
Você precisa ir no programador, na opção portas_juntores e alterar o atendedor dos juntores ip´s para um ramal inexistente, ou crie um novo ramal só para esta finalidade que com certeza irá parar.

Re: Invasão na ICIP (sip)

Enviado: 04 Mai 2017, 08:32
por DaniAlves
geraldomga escreveu:Boa noite.
Isso não é invasão.
Você precisa ir no programador, na opção portas_juntores e alterar o atendedor dos juntores ip´s para um ramal inexistente, ou crie um novo ramal só para esta finalidade que com certeza irá parar.


Mudando somente o atendedor do Juntor IP, apenas irá minimizar a questão do ring no ramal da telefonista, porém continuará recebendo essas tentativas de invasão. O correto é colocar o Firewall na rede, e se possível, mudar a porta, como indicado anteriormente pelo suporte.

Re: Invasão na ICIP (sip)

Enviado: 09 Mai 2017, 21:06
por shimpato
DaniAlves escreveu:
geraldomga escreveu:Boa noite.
Isso não é invasão.
Você precisa ir no programador, na opção portas_juntores e alterar o atendedor dos juntores ip´s para um ramal inexistente, ou crie um novo ramal só para esta finalidade que com certeza irá parar.


Mudando somente o atendedor do Juntor IP, apenas irá minimizar a questão do ring no ramal da telefonista, porém continuará recebendo essas tentativas de invasão. O correto é colocar o Firewall na rede, e se possível, mudar a porta, como indicado anteriormente pelo suporte.



Olá, sou instalador certificado INTELBRAS e revenda,

eu também estava com esse problema em um cliente com IMAPCTA 140 E ICIP,
as tentativas de invasão são por causa da porta padrão SIP 5060,
eu uso o PRTG para monitorar a IMPACTA, e eram sempre IPs de fora do BRASIL, pouco eram do BRASIL, e todos de tentativas de se conectar na central, e tb configurei a impacta para bloquear (Blak list) o IP externo que está tentando se conectar na IMPACTA na primeira tentativa invalida, isso é configurável, eu optei pela primeira tentativa, minimizou mas não resolveu, então troquei a porta padrão 5060, e coloquei uma bem mais alta, e não tive mais tentativas de invasão.