Защита от фрода

[puzanaga]

Добрый день.

Участились случаи взлома абонентский устройств.

Подскажите как кто защищается? Может на станции как то можно это реализовать. Или есть сторонние решения.

Спасибо!

[bravo]

всё зависит от схемы включения и роли этих устройств.

а каким образом после взлома эксплуатируют абонентское устройство? И, собственно, какое?

[Dmitriy_eltex]

Здравствуйте.

Да, о каком конкретно абонентском устройстве идет речь?

[puzanaga]

Станцию используем SMG-1016M

Сломали linksys spa8000 - Висит в инете у клиента.

Думаем как защититься от этого. А то клиент отказывается платить.

[Dmitriy_eltex]

Станцию используем SMG-1016M

Сломали linksys spa8000 - Висит в инете у клиента.

Думаем как защититься от этого. А то клиент отказывается платить.

linksys spa8000 не является оборудованием Eltex, помочь с его проблемами мы вам не сможем.
Причем тут SMG1016m и взлом linksys spa8000? как связаны два этих утверждения?
Опишите проблему подробней.

[puzanaga]

Я хотел поинтересоваться кто как защищается от взлома и всплеска доходного трафика. Может это на SMG можно как то сделать.

[Dmitriy_eltex]

Я хотел поинтересоваться кто как защищается от взлома и всплеска доходного трафика. Может это на SMG можно как то сделать.

Повторюсь, опишите проблему подробней.
Что значит "защищается от взлома и всплеска доходного трафика"?

Т.е. linksys spa8000 является SIP абонентом SMG1016m, его взломали и
он начал паразитировать SMG посторонними звонками?

[aga]

Я хотел поинтересоваться кто как защищается от взлома и всплеска доходного трафика. Может это на SMG можно как то сделать.

Повторюсь, опишите проблему подробней.
Что значит "защищается от взлома и всплеска доходного трафика"?

Т.е. linksys spa8000 является SIP абонентом SMG1016m, его взломали и
он начал паразитировать SMG посторонними звонками?

Да все верно. Пошли посторонние звонки.

Может можно сделать какой то лимит на количество звонков или минут. А потом блокировать номер. Чтобы исключить большой всплеск доходного трафика.

[Dmitriy_eltex]

Я хотел поинтересоваться кто как защищается от взлома и всплеска доходного трафика. Может это на SMG можно как то сделать.

Повторюсь, опишите проблему подробней.
Что значит "защищается от взлома и всплеска доходного трафика"?

Т.е. linksys spa8000 является SIP абонентом SMG1016m, его взломали и
он начал паразитировать SMG посторонними звонками?

Да все верно. Пошли посторонние звонки.

Может можно сделать какой то лимит на количество звонков или минут. А потом блокировать номер. Чтобы исключить большой всплеск доходного трафика.

1. В первую очередь следует обезопасить cам источник вредоносного трафика, в данном случае linksys spa8000.
Как это сделать - вопрос к производителям cisco/linksys. Возможно понадобится перепрошить шлюз + сбросить конфигурацию в дефолт, чтобы перетереть вредоносный код.
Если SIP абонент находится в белой (публичной) сети, то необходимо предпринять ряд организационных мер:
-настроить firewall на SIP абоненте, по принципу: сначала разрешаем доступ нужным IP адресам->в конце запрещаем всем;
-закрыть доступ по WEB/SSH/TELNET/TR069 либо вообще, либо по стандартным портам (изменить порты);
-изменить стандартные пароли для доступа на устройство.
Рекомендуется прикрывать SIP абонентов внешним firewall-ом, т.е. располагать их в частной сети.

2. Если SMG находится в публичной сети или маршрутизирует публичных SIP абонентов, то необходимо принять ряд организационных мер:
-обезопасить доступ на SMG из публичной сети, аналогично п.1
-включить и настроить на SMG fail2ban - как раз этот инструмент и позволяет сделать лимит на количество SIP запросов в единицу времени.
-ограничить направления вызова для внешних SIP абонентов - способов сделать это очень много (например, категории доступа, авторизация на RADIUS, динамические абоненты и т.д.). Смысл всего этого в том, чтобы запрещать внешним SIP абонентам делать междугородние/межзоновые/международные вызовы. А кому необходимо - разрешать.
-ограничить количество активных VoIP-соединений SIP абонента, подробнее тут:
http://kcs.eltex.nsk.ru/articles/176
Рекомендуется прикрывать SMG внешним firewall-ом или SBC, т.е. располагать ее в частной сети.
Если сетевой интерфейс SMG находится в публичной сети, то не рекомендуется включать там доступ для управления.

[Bokrenok]

может прентивно поотключать абонентам МН-направление?

и прикрутить RADIUS между SMG и биллинг-системой, чтобы рубить вызовы по окончании денег на счету.
и так же через RADIUS можно сторонней системой анализировать траффик абонентов.

в самой SMG явных аналитических механизмов для защиты от фрода нет.

Может можно сделать какой то лимит на количество звонков или минут. А потом блокировать номер. Чтобы исключить большой всплеск доходного трафика.

этот вопрос как раз решается стыковкой биллинг системы и АТС посредством RADIUS Authorization/Accounting

[sersil]

Злонамеренные вызовы идут в основном на международные направления, в частности платные номера в прибалтике.
Ростелеком мониторит и звонит при подозрительных вызовах, время реагирования около часа, но за этот час клиенты встревали на внушительные суммы.
У нас центральная АТС Si2000, SMG включен в неё.
Проанализировали тарифы на международные направления, создали список МН направлений дороже 20р за минуту, повесил баррингом на трангруппы и абонентов (на Si2000). Большинство абонентов не испытали неудобств, только некоторым по их просьбе открыл молдавию, осетию, азербайджан. Новых абонентов создаю с категорией доступа "без 810", по их просьбе включаем международку.
Пока тьфу-тьфу, спокойно. Правда могут появиться новые платные направления.

Заодно вопрос - как реализовать подобный черный список МН направлений на SMG ?

[Dmitriy_eltex]

Заодно вопрос - как реализовать подобный черный список МН направлений на SMG ?

Можете использовать категории доступа, подробнее тут:
http://kcs.eltex.nsk.ru/articles/62
Но лучше и гибче, как и писал Bokrenok, использовать стороннюю биллинг систему с механизмами аналитики.
Стык с этой системой сделать по RADIUS.

[sersil]

В списке 1400 закрытых МН направлений, в Si2000 весь этот список добавляется одним текстовым файлом.
Каким образом этот список добавить в SMG ?

[Dmitriy_eltex]

В списке 1400 закрытых МН направлений, в Si2000 весь этот список добавляется одним текстовым файлом.
Каким образом этот список добавить в SMG ?

Что с вашей точки зрения означает "направление"?
Вы имеете в виду 1400 префиксов плана нумерации? или 1400 транковых групп?

PS: немного отклонились от изначальной темы ))

[sersil]

PS: немного отклонились от изначальной темы ))

Ну почему же, я привел свой вариант борьбы со фродом - ограничение наиболее дорогих МН направлений (префиксов).
Вот кусок из начала списка на Si2000, 20 префиксов:

8497 81087039 4
8497 81087060 4
8497 810881 4
8497 810882 4
8497 81087078 4
8497 8954102 4
8497 8954103 4
8497 8954106 4
8497 8954107 4
8497 8954105 4
8497 8108816 4
8497 8108817 4
8497 8108810 4
8497 8108811 4
8497 8108705 4
8497 81087077 4
8497 8108818 4
8497 8108819 4
8497 81088213 4

Всего их в списке 1416, каким образом этот список прикрутить к SMG вы так и не ответили.