From: "Dmitry Akindinov" <CGatePro@mx.ru>
Received: by mx.demos.su (CommuniGate Pro PIPE 5.0.14)
  with PIPE id 548312987; Fri, 04 Jan 2013 22:17:12 +0400
X-Spam-Status: No, hits=-1.3 required=5.0 tests=AWL,BAYES_00,RP_MATCHES_RCVD,
	SPF_HELO_PASS,SPF_PASS autolearn=ham version=3.3.2-st2.demos
X-Spam-Level: 
X-Spam-Checker-Version: SpamAssassin 3.3.2-st2.demos (2011-06-06)
X-Spam-Report: -1.3 points, 5.0 required;
	* -0.0 SPF_HELO_PASS SPF: HELO matches SPF record
	* -0.0 SPF_PASS SPF: sender matches SPF record
	* -0.8 RP_MATCHES_RCVD Envelope sender domain matches handover relay domain
	* -0.5 BAYES_00 BODY: Bayes spam probability is 0 to 1%
	*      [score: 0.0000]
	*  0.0 AWL AWL: From: address is in the auto white-list
Received: from moscow.stalker.com ([89.175.185.228] verified)
  by mx.demos.su (CommuniGate Pro SMTP 5.0.14)
  with ESMTP id 548312986 for CGatePro@mx.ru; Fri, 04 Jan 2013 22:17:03 +0400
Received: from [37.204.163.96] (account dimak@mail.moscow.stalker.com HELO [192.168.0.112])
  by mail.moscow.stalker.com (CommuniGate Pro SMTP 6.0.2k)
  with ESMTPSA id 35872137 for CGatePro@mx.ru; Fri, 04 Jan 2013 22:16:56 +0400
Message-ID: <50E71C91.8090502@stalker.com>
Date: Fri, 04 Jan 2013 22:16:49 +0400
Organization: Stalker Labs
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20120614 Thunderbird/13.0.1
MIME-Version: 1.0
To: CommuniGate Pro Russian Discussions <CGatePro@mx.ru>
Subject: Re: [CGP] =?KOI8-R?Q?=FA=C1=DD=C9=D4=C1_=D3=C5=D2=D7=C5=D2=C1_?=
 =?KOI8-R?Q?CGP_=CF=D4_=C2=D2=D5=D4=C6=CF=D2=D3=C1=2E?=
References: <list-548312915@mx.demos.su>
In-Reply-To: <list-548312915@mx.demos.su>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit

здравствуйте,

On 2013-01-04 20:22, Шкроб Виктор Николаевич wrote:
>
> Выражается в том, что все сип-аккаунты в этот момент никому не могут дозвониться, т.е. они подключены, но при наборе номера тишина.
> В наблюдении -> Real-Time -> SIP -> Прием
> 81176 	31 сек 	ожидание (1sec) 		completed 	udp[хх.хх.хх.хх]:8570 	SIGNAL-264970 	REGISTER sip:yy.yy.yy.yy
> Таких записей на несколько страниц, помогает только бан через ipfw.

А версия CGpro у вас какая?

> -----Original Message-----
> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
> Sent: Friday, January 04, 2013 4:59 PM
> To: CommuniGate Pro Russian Discussions
> Subject: Re: [CGP] Защита сервера CGP от брутфорса.
>
> Здравствуйте,
>
> On 2013-01-04 18:36, Шкроб Виктор Николаевич wrote:
>> Это всё хорошо, только пока не закроешь доступ атакующему с помощью файрвола, работать по SIP с CGP невозможно.
>
> В чём это выражается? Какие проблемы, например, в логах наблюдаются при этом?
>
>> Я так понял, что брут занимает все сокеты.
>
> С UDP? Там для работы один сокет нужен...
>
>> Отсюда вопрос, где лежит список временно блокируемых адресов?
>> Хочу этот список использовать для закрытия доступа на уровне файрвола.
>
> CLI: GetTemBlacklistedIPs
> <http://www.communigate.com/CommuniGatePro/CLI.html#Misc>
>
>> -----Original Message-----
>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
>> Sent: Friday, November 02, 2012 2:20 PM
>> To: CommuniGate Pro Russian Discussions
>> Subject: Re: [CGP] Защита сервера CGP от брутфорса.
>>
>> Здравствуйте,
>>
>> в WebAdmin на странице Settings->Network->Blacklisted IPs есть
>> настройка "Temporarily Blocked IP Addresses" она работает и для SIP.
>> (если у Вас кластер, то она будет только во вкладке Cluster-wide)
>>
>> On 02.11.2012 10:40, Шкроб Виктор Николаевич wrote:
>>> Всем добрый день,
>>> Сегодня ночью наш CGP забрутили по SIP с IP 85.195.82.185.
>>> Пока я спал, сервис SIP не работал.
>>> Господа, посоветуйте пожалуйста, защиту от подобных атак.
>>> Может скрипт, который автоматически банил бы IP после 10-ти неудачных попыток авторизации, на час например.
>>> CGP стоит на FreeBSD 8.2
>>>
>>> Best Regards,
>>> Victor Shkrob,
>>> IT Engineer
>
>
> --
> Best regards,
> Dmitry Akindinov
>
>
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
>    <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
> Архив списка: http://mx.demos.su/lists/cgp-russian/
>
>
>
>
>
>
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
>    <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
> Архив списка: http://mx.demos.su/lists/cgp-russian/
>
>
>

-- 
Best regards,
Dmitry Akindinov