3CX v15 SP3 и дыры

Только что приятно обнаружил что моя 3CX, а точнее мой автосекретарь (голосовое меню), ринг груп и очереди умеют по ночам без моего ведома совершать платные звонки по разным экзотическим странам за счет компании. Привожу протоколы из 3CX:
18.11.2016 06:27:22 IVR (800) 900972599362540 Пропущен
18.11.2016 06:25:46 IVR (800) 00972599842771 00:01:48
18.11.2016 06:20:41 IVR (800) 00972599088868 00:00:03
18.11.2016 06:16:36 IVR (800) 00972599088868 Пропущен
18.11.2016 04:44:47 IVR (800) 000972599362540 Пропущен
18.11.2016 04:23:40 IVR (800) 00972599362540 00:00:32
06.11.2016 15:39:36 IVR (800) 900442032898650 Пропущен
Жаль не могу показать как у меня номер 804 (Call Queue) делает исходящие звонки по экзотическим странам, видимо вопросу чтоб данные системные экстеншены не попадали в лог звонков (в базе данных они есть, благо я там смотрю а не просто на протокол вызовов) разработчики уделили особое внимание. Хотя я понял, у меня не PRO версия, она не позволяет делать отчеты по очередям и групам вызова, она только позволяет с них звонить.

Какие будут рекомендации чтоб превратить это шаманство и потерю денег на корпоративных счетах?
P.S. Как обычно приятные сюрпризы все ночью.

Забыл добавить, отдельная благодарность тому разработчику (чтоб у него пальцы не болели), который в 2010 году в очередном обновлении за которое я заплатил деньги убрал возможность записи разговоров для вызова типа "внешний номер"-транзит3CX-"внешний номер", сейчас благодаря ему (до 2010 года все писалось отлично, до сих пор записи лежат в архиве) я даже не могу послушать о чем там разговаривал мой IVR 800 с абонентом в Израиле. Я уже об этом писал ранее, чтоб включили эту функцию очень надо для внутренних целей и подобных случаев, но вопрос остался без внимания.

Проанализировал SIP пакеты. Поражаюсь, как при апгрейде с 14 на 15 версию 3CX отказывал в регистрации шлюзам, так как "Device Not Identified: User Agent not matched;" до утра возился чтоб заставить узнавать шлюзы, так сейчас приходит входящий инвайт с левого айпи от имени IVR или очереди - по барабану, 3CX говорит я тебя мол не узнаю но звонить разрешает куда угодно. Лафа для хакеров.
----------------------
19.11.2016 21:44:49:766 | [CM500002]: Call(C:97): Info on incoming INVITE from Queue:804:
Invite-IN Recv Req INVITE from 213.202.233.112:5078 tid=-6e0f9cf8c3d7fe5de0f29887a9168519 Call-ID=6e0f9cf8c3d7fe5de0f29887a9168519:
INVITE sip:00046406935624@МОЙАЙПИ SIP/2.0
Via: SIP/2.0/UDP 213.202.233.112:5078;branch=z9hG4bK-6e0f9cf8c3d7fe5de0f29887a9168519;rport=5078
Max-Forwards: 70
Contact: <sip:[email protected]:5078>
To: 00046406935624<sip:00046406935624@МОЙАЙПИ>
From: 804<sip:804@МОЙАЙПИ>;tag=246e85d6
Call-ID: 6e0f9cf8c3d7fe5de0f29887a9168519
CSeq: 1 INVITE
Allow: INVITE, ACK, CANCEL, BYE
Content-Type: application/sdp
User-Agent: sipcli/v1.8
Content-Length: 287

v=0
o=sipcli-Session СТЕР ДЛЯ БЕЗОПАСТНОСТИ IN IP4 213.202.233.112
s=sipcli
c=IN IP4 213.202.233.112
t=0 0
m=audio 5079 RTP/AVP 18 0 8 101
a=fmtp:101 0-15
a=rtpmap:18 G729/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:8 PCMA/8000
a=rtpmap:101 telephone-event/8000
a=ptime:20
a=sendrecv


Level = 5
Severity = Log
Tread = 6
Source = CallCtrl.cpp, line:400
----------------------
19.11.2016 21:44:49:767 | [CM505001]: Endpoint Queue:804: Device info: Device Not Identified: User Agent not matched; Capabilities:[reinvite, replaces, able-no-sdp, recvonly] UserAgent: [sipcli/v1.8] PBX contact: [sip:804@МОЙАЙПИ:5060]
----------------------
19.11.2016 21:44:49:767 | [CM503010]: Call(C:97): Making route(s) from Queue:804 to <sip:00046406935624@МОЙАЙПИ:5060>
----------------------
Ну и дальше Вы поняли как по маслу.... Так тупо....
На 5 мин ранее 3CX блокирует юзер агент, но потом его же спокойно и пропускает:
19.11.2016 21:39:59:598 | PBX has dropped a message with 'User-Agent: sipcli/v1.8' from IP 213.202.233.112 because it is on blocked UAs list
Я ничего не понимаю, так тупо обычно не бывает. Где я и что пропустил?

"В исходящих правилах нужно заполнить все поля: префикс, длина и т.д. Пустых настроек не должно быть."

Не понимаю данной рекомендации. Зачем в исходящих правилах заполнять поле например количество символов в номере, если должно срабатывать по префиксу на любую длину. Или поле "Calls from extension(s)", если мне нужно чтоб правило срабатывало с любого экстеншена.

"Коды разрешенных стран проверить галочки скинуть."

Хорошо, допустим. Хакеры звонили в Израиль. У нас есть клиенты в Израиле. Смысл мне блокировать направление Израиль если оно мне нужно?

"И запретить все IP адреса, нужные разрешить."

У меня лично и не только у меня, клиент 3CX на мобильном телефоне, мобильный интернет - динамический айпи, подключение происходит на сервер со статическим белым айпи на открытый 5060, что запрещать?

"Думай над рекомендациями, читай руководство. IP адреса по диапазону открываются."
Руководство перечитал повторно по настройке исходящих правил. Там ничего не сказано об обязательной настройке всех полей.
По поводу думать и айпи адресов: я Вам написал почему я не заполняю в исходящих правилах некоторые необязательные поля и тем более не применяю фильтрацию по айпи - я тупо заблокирую своих сотрудников или мне придется с утра до ночи сидеть в системе, мониторить динамические айпи всех своих сотрудников и ручками править диапазоны разрешенных айпи адресов - это отличная рекомендация для системы с лозунгом Zero Admin.

"А Счета уже есть наговоренные хакерами?"
Есть.

Опять хакер вылез:
The IP 213.202.233.112 has been blacklisted for 86400 sec. (Expires at: 2016/1122 17:00:59).
Reason: Too many failed authentications!
Странно почему его авторизацию раньше не блокировало, а сейчас уже заблокировало и в логах почему-то про авторизацию ничего не сказано. Очень странно что логи в максимальном режиме не полные. Есть ли вообще-то полный лог где-то обмена SIP пакетами в системе?
Я специально не блокировал айпишник этот (и еще несколько сканируют мой сервер аналогичным образом подбирая экстеншены). Видимо действительно как сказал предыдущий участник "спасение утопающих дело рук самих утопающих". Сниффер для SIP пакетов я конечно поставлю. Zerro Admin какойто не зеро получается только.

1sy1 письмо написал.

Aleksandr:

Я прочитал рекомендации и вторую ветку.
1. Я могу в правилах ограничить вызовы с нужных экстеншенов (это не закроет дыры в системе, это дополнительная безопастность), как быть с ситуациями, когда у меня в правилах в очередях и групах вызовов и на автоответчике стоит переадресация на мой мобильный если никто не смог взять трубку? Если я в правилах пропишу экстеншены конкретные, то соответствующая переадресация перестанет работать?
2. 5060 я не закрою по нескольким причинам
а) сервер в датацентре, сотрудники в разных городах, VPN не везде есть техническая возможность настроить
б) несколько абонентов в других странах
в) тунель везде где можно использовать - использую, но есть несколько стационарных аппаратов, соответственно не поддерживают ни тунель ни VPN (на них прошивки не выходят лет 5 уже)
г) есть трабл с 3CXPush на андроид телефонах, у двух сотрудниках на дешевых китайских телефонах глючит Push (у одного не работает вообще, у второго неделю работает, неделю нет), у остальных все нормально. Переход на v15 сильно картину не изменил, если ранее и у второго глючило, то теперь у второго глючит по "четным" неделям. Был на 14 версии трабл, если у одного два экстеншена с андроидом, то Push переставал работать одновременно на двух девайсах, эту ситуацию на версии 15 не проверял, но явно был трабл с идентификаторами устройств в 3CX сервере. Соответственно Push не работает - 3CXPhone использовать на девайсе невозможно (не принимает входящих звонков, ради которых сотрудник взят на работу), соотвественно используется другой клиент, тунеля нет и т.д. и.т.
д) сотрудники и я с девайсами когда на улице - мобильная связь, когда в помещении - вай фай. В разных городах и в разных странах, плюс отдых за рубежом с телефоном никто не отменял. Теперь посчитайте хотя бы приблизительно сколько мне нужно собрать операторов мобильной связи и проводной (WiFi), чтоб собрать диапазоны айпи адресов и закинуть их в правила. И насколько эти правила будут эфективны в таком случае.

Александр: все выше сказанное только уменьшает вероятность, но не решает проблему, по этому как дополнительная безопасность - да можно применить (если получится, о чем написал Вам выше), как решение проблемы нет.

Неправильно написал, читать: "Был на 14 версии трабл, если у одного экстеншена два аппарата с андроидом"