PDA

View Full Version : Saturation d'enregistrement SIP (Résolu)



bjohan
04-09-2010, 03:30 AM
Bonjour;
Je suis victime d'attaque sur mon Quadro2X. En effet, j'ai une IP qui n'arrête pas de vouloir enregistrer des comptes SIP (10/seconde). Ces attaques saturent mon Quadro et empêche mes téléphones se enregistrés. J'ai tout reconfiguré mon Firewall et impossible de résoudre le prb sauf en saisisant l'IP dans les "IP Blocked" du firewall.
Etes-vous aussi victime de ce problème et quelles solutions peut-on apporter?
Merci
V Firm: 5.1.31

LeProDu32x
04-13-2010, 09:12 AM
Salut Bjohan,

As tu des info dans ton IDS ?
Es tu sur que c'est une adresse Ip externe ?
Fais une recherche Whois sur cette @Ip pour voir.

As ta dispo sur le forum,
A+
LP

MEDIAPCSYSTEM
04-18-2010, 04:07 AM
Mon fournisseur, ma alerté à propos de cela. Il a suggeré de changer les port sip et http. Le nom du quadro sur le réseau et son domaine interne. Moi je désactive aussi les comptes sip epygi qui ne sont pas utilisés.

LeProDu32x
04-22-2010, 06:40 AM
Tout à fait.
Une fois ta config Ok, regarde dans l'IDS si tu as des alertes.

Tiens moi au courant,
A+,

LP

rubik
04-27-2010, 04:29 AM
Bonjour,

J'ai eu le meme souci le 14 Avril sur mon 2Xi

Il n'y a rien dans l'IDS mais des traces dans les événements systeme

IP phone user 100 [168.115.122.182:5140]: registration failed. Reason: No Such Line Configured.

Le petit malin a testé les user 100 à 389 (il y a des sauts de numéro par moment), l'utilisateur admin, info et test mais à chaque fois : l'enregistrement d'ip phone a été rejeté

Qu'elles sont les moyen de sécurisé la bête. la je suis derrière un routeur firewall UTM
A plus

MEDIAPCSYSTEM
05-04-2010, 05:51 PM
J'ai changé les ports sip et http pour ma part.

LeProDu32x
05-26-2010, 06:50 AM
Salut à tous,

Pas grand chose à faire si ce n'est blinder les extensions de vos Phone SIP avec des mots de passes betons.
La nouvelle version 5.2.9 integre un generateur de password beton.
(Par contre attention lors du copie/collé a ne pas coller des espaces)

A+,
LP

rubik
05-29-2010, 04:15 PM
Personnellement, je n'ai autorisé que l'IP de mon prestataire VOIP à entrer sur le port 5060 et depuis plus de tentative dans les logs epygi

LeProDu32x
06-16-2010, 10:28 AM
Salut à tous,

La nouvelle version du frmw 5.2.9/5.2.10 integre un SIP IDS, qui normalement doit rejetter toutes ces tentatives.

Le premier qui patch test, et revient nous dire si c'est ok ?!
A+,

LP