Данная статья будет частичным переводом документа на сайте cisco посвященному новому функционалу по защите от фрода.
Если вы плотно работаете с ip-телефонией в провайдере или занимаетесь фрилансовой настройкой УПАТС вам наверняка приходилось сталкиваться с неприятностями, связанными с нелигитимным пропуском трафика. Для разного оборудования существуют свои специфические настройки, позволяющие минимизировать риск получения огромных счетов за мошеннический трафик. Рассмотрим поподробнее, что предлагает сделать компания Cisco на голосовых шлюзах с установленным IOS 15.1(2)T.
В начале статьи описывается как Cisco IOS Voice Gateway будет вести себя после установки IOS 15.1(2)T. Если на предыдущих софтах автоматически к обработке принимались все вызовы, независимо от того с какого адреса они пришли, то теперь все вызовы будут блокированны если не выполняется одно из следующих условий:
Как написано в документе данный список может содержать не более 100 записей. На вскидку немного, но можно добавлять целые сети ipv4 192.0.2.0 255.255.255.0.
Понять, что вызов отклонен приложением TOLLFRAUD_APP предлагается включением отладки debug voip ccapi inout. На голосовом шлюзе который пропускает хотя бы вызовов 15-20 такая операция довольно проблематична. Возможно получение событий по syslog, для этого необходимо воспользоваться командой voice iec syslog. Возможно так же вместо 21 (Call Rejected) причины отбоя подставить другую командой ip address trusted call-block cause <q850 cause-code> в секции voice service voip.
В общем и целом получаются несколько усовершенствованные access-list's.
Если вы плотно работаете с ip-телефонией в провайдере или занимаетесь фрилансовой настройкой УПАТС вам наверняка приходилось сталкиваться с неприятностями, связанными с нелигитимным пропуском трафика. Для разного оборудования существуют свои специфические настройки, позволяющие минимизировать риск получения огромных счетов за мошеннический трафик. Рассмотрим поподробнее, что предлагает сделать компания Cisco на голосовых шлюзах с установленным IOS 15.1(2)T.
В начале статьи описывается как Cisco IOS Voice Gateway будет вести себя после установки IOS 15.1(2)T. Если на предыдущих софтах автоматически к обработке принимались все вызовы, независимо от того с какого адреса они пришли, то теперь все вызовы будут блокированны если не выполняется одно из следующих условий:
- ip адрес источника вызова (видимо имеется в виду сигнального трафика, хотя это и не указанно явным образом) фигурирует в любом из dial-peer в команде session-target;
- явным образом прописаны в trusted list.
Router#show ip address trusted list IP Address Trusted Authentication Administration State: UP Operation State: UP IP Address Trusted Call Block Cause: call-reject (21) VoIP Dial-peer IPv4 Session Targets: Peer Tag Oper State Session Target -------- ---------- -------------- 3000 UP ipv4:203.0.113.100 1001 UP ipv4:192.0.2.100Создается trusted list в секции voice service voip следующими командами:
voice service voip ip address trusted list ipv4 <ipv4-address> [<ipv4 network-mask>]
Как написано в документе данный список может содержать не более 100 записей. На вскидку немного, но можно добавлять целые сети ipv4 192.0.2.0 255.255.255.0.
Понять, что вызов отклонен приложением TOLLFRAUD_APP предлагается включением отладки debug voip ccapi inout. На голосовом шлюзе который пропускает хотя бы вызовов 15-20 такая операция довольно проблематична. Возможно получение событий по syslog, для этого необходимо воспользоваться командой voice iec syslog. Возможно так же вместо 21 (Call Rejected) причины отбоя подставить другую командой ip address trusted call-block cause <q850 cause-code> в секции voice service voip.
В общем и целом получаются несколько усовершенствованные access-list's.
Ждём новых публикаций)))
ОтветитьУдалитьПодкиньте тему, проработаем...
ОтветитьУдалитьИнтересна к примеру была бы тема борьбы с фродом. Понятно что тема достаточно ёмкая, но услышать хотя бы общие положения от профессионала было бы хорошо....
ОтветитьУдалитьСпасибо большое! Вы, только что, мне очень помогли. Сидел, не знал в чем же дело.
ОтветитьУдалитьУх ты. Мое творение даже кому то помогло. Очень приятно. Жаль, что не получается собраться и продолжить развите блога :-(
ОтветитьУдалить