语音 : 网关协议

关于防止语音网关被盗用的最佳实践

2010 年 9 月 22 日 - 原创文档
其他版本: PDFpdf | 反馈

目录

技术领域
问题描述
最佳实践

技术领域

H323, SIP , TCL, COR

问题描述

尽管事实情况是没有任何内部用户拨打过国际或省际长途电话,但用户的电信账单依然出现了难以置信的高额费用。记录显示,用户曾经频繁、长时间联系国际和省际的长途用户,从而产生了非常高的长途费用。本文介绍如何发现并防止语音网关被盗用的实例。

最佳实践

  1. 防止来自IP网络的盗用

    如果用户的语音网关有Internet/Intranet可达的IP地址,但没有配置足够的安全特性,任何voip的终端都有可能跳过管理员的耳目,实现越权拨打电话。针对此类风险,我们建议的最佳实践如下:

    在网关上增加访问列表,除了允许信任的远端voip设备和所有telnet之外,其他所有的tcp连接一概拒绝。

    access-list 100 permit ip host 192.168.1.1 host 10.0.0.87  
    !(允许远端网关192.168.1.1)
    access-list 100 permit tcp any host 10.0.0.87 eq 23                
    ! (允许telnet访问)
    access-list 100 permit udp any any  range 16384 32768     
    !(充许RTP流量)
    access-list  100 deny ip any any          
    !  (可选,拒绝所有非信任的H323,SIP呼叫请求)
    !
    interface g0/0
    ip address 10.0.0.87 255.255.255.0
    ip access-group 100 in                        
    !(应用访问列表到接口下,如果有多个接口IP 可达,建议在所有接口上应用)
    
  2. 防止来自PSTN的盗用

    当用户使用了基于TCL的自动话务员系统的时候,不安全的配置同样会给来自PSTN的非法用户以可乘之机。例如,当非法用户打到基于TCL的自动话务员的时候,系统提示输入分机号码,而他输入的是90019723451234,如果用户的网关正好使用的是出局加9(destination-pattern 9T 打向出局的E1/FXO)的话,那么这个用户就会被连接到美国的号码为9723451234。

    COR (class of restriction)是Cisco IOS 内置的用来实现呼叫权限管理的特性,它能够帮助我们用来防止面向PSTN的hairpin的呼叫的发生,配置案例如下。

    dial-peer cor custom 
    name Voip
    name PSTN 
    ! 
    dial-peer cor list PSTN
    member PSTN
    ! 
    dial-peer cor list All 
    member Voip
    member PSTN
    !
    dial-peer voice 101 pots
     corlist incoming PSTN
     description "matched all Incoming calls"
     service AA
     incoming called-number .T
    direct-inward-dial
     port 2/0:15
    !
    dial-peer voice 102 pots
     corlist outgoing All
     description "matched all Outgoing calls"
     destination-pattern 9T
     port 2/0:15
    

    如果用户有多个E1, dial-peer voice 101和102的配置需要复制为201和202。根据上面的配置,如果用户打到AA上面,并输入90019723451234, dial-peer 102不会被match,所以阻止了对这条E1的国际长途盗用。