[adam.k]

Idézet: Jahno - Dátum: 2009. jan. 24., szombat - 10:54

Akkor esetleg ha írnánk egymásnak mailt a részletekkel, típussal?

Semmi olyat nem tudok irni maganlevelben, amit itt ne tudnek leirni.  Igaz, hogy mar nem dolgozom azon a helyen, de a szaftos reszleteket ettol fuggetlenul nem irhatom le.  Inkabb ide irom, mert hatha mas tanul belole.

Lenyeg a lenyeg: egy CUCM -nak volt publikus ip cime, egeszen pontosan egy statikus PAT volt egy routeren (28xx) beallitva egy belso cimre, de maga a CME futott a routeren a sajat IP cimen.

Az, amit mi bugnak hittunk, az a kovetkezo: ha nincs static PAT beallitva a routeren, akkor a CME a router sajat IP cimen valaszol.  Ha tcp static pat van beallitva, akkor meg mindig.  Ugyanakkor ha udp-t patolsz belulre, akkor a routeren futo osszes szolgaltatas hirtelen elerhetove valik azokon a cimeken is, amelyek a pat global cimei.

Mivel volt egy udp pat a routeren beallitva, ezen a global ip cimen is listenelt a cme.  Igy ha hivast kuldtek neki, akkor kezelte.  SIP szervernek hasznalva a benne levo PRI-n at tudtak kubaba telefonalni.  Es mivel az acl-ek a fentiek ismerete nelkul volt beallitva, igy ez mukodott is.  Asteriskemmel en is kiteszteltem, nekem is ment.

Laborban a helyzetet reprodukaltuk, rajottunk, hogy mi okozza, hogy bindel a cme a router nem sajat cimere.  Irtunk a cisconak, hogy ez szerintunk egy vastag bug.  A valasz az volt, hogy ez igy van jol, ennek igy kell mukodnie es hasznaljunk acl-eket.

A teszt a laborban amugy ugy zajlott, hogy ket routert egymas moge kotve kivulrol nezve a hatso router volt a time szerver.  Ha az elso routeren beallitottam a patot, akkor a kulso router telneten elerhetove valt azon a cimen amin a belso router time servere volt.  Ha a patot kikapcsoltam, akkor pedig timeout volt ahogy lennie kell.  tcp pat nem valtoztatott a helyzeten, de pl. egy snmp mar megint igen.

A tanulsag az esetbol a kovetkezo:

- pots kapcsolatot nem kotunk publikus ip cimmel elerheto helyre
- acl beallitasoknal mindnen ismert adatot ki kell tolteni a white listben, kulonben kellemetlen meglepetesek erhetnek

[Jahno]

Idézet: adam.k - Dátum: 2009. jan. 25., vasárnap - 10:11

Semmi olyat nem tudok irni maganlevelben, amit itt ne tudnek leirni.

Nagyjából ez, csak Nortel központtal. Szolgáltató lehet tud valamit, mert amikor kimentek az elsõ kubai hívások, akkor nem is az miatt érdeklõdött, hanem esetleg a Cisco központ miatt.

Szerencsére ide a kliensek fix helyekrõl jönnek fel, így befirewalloztuk, csak hát jahh, elõbb kellett volna.

[Jahno]

Adatparkot is érintette?

Csatolt fájl:

•  tcomcore1.jpg (0byte)
  Letöltések:: 13

[gerimaster]

Idézet: Jahno - Dátum: 2009. jan. 25., vasárnap - 14:20

Adatparkot is érintette?

nem kicsit, nagyon

[gerimaster]

Idézet: gerimaster - Dátum: 2009. jan. 25., vasárnap - 14:30

nem kicsit, nagyon

Idézet: gerimaster - Dátum: 2009. jan. 25., vasárnap - 14:30

nem kicsit, nagyon

Csatolt fájl:

•  graph.cgi.png (0byte)
  Letöltések:: 30

[Jahno]

Nebénázzál

Csatolt fájl:

•  tcomcore2.jpg (0byte)
  Letöltések:: 14

[Meister]

Idézet: Jahno - Dátum: 2009. jan. 25., vasárnap - 16:00

Nebénázzál

Azért nem semmi, hogy egy db kábel elvágása után leáll a fél internet M.o.-on. Trékomnál valamit nagyon elszabtak.

[andrej_]

Idézet: Jahno - Dátum: 2009. jan. 25., vasárnap - 11:55

Nagyjából ez, csak Nortel központtal. Szolgáltató lehet tud valamit, mert amikor kimentek az elsõ kubai hívások, akkor nem is az miatt érdeklõdött, hanem esetleg a Cisco központ miatt.

Szerencsére ide a kliensek fix helyekrõl jönnek fel, így befirewalloztuk, csak hát jahh, elõbb kellett volna.

Minden VoIP eszközt fokozottan tessék az 5060-as porton védeni és ha lehet titkosított VPN-be tenni a forgalmat! Sajnos a kubai téma nagyon nem új és volt olyan szolgáltató aki több 10millióval nyalta be saját eszközön. Ha SIP végberendezést az ügyfél tartja karban akkor jó lépés lehet az 5060-as port helyett mást választani (nagyon mást) és kizárólag olyan IP-rõl és IP-re engedni a _bejövõ_ és _kimenõ_ voip forgalmat ami a szolgáltatóé (tûzfal és ACL). Sajnos mivel elég nagyban játszák a voiphaxorkodást, ezért az IP hamisítás is elõfordulhat, ha sikerül (és sikerül) megtörniük egy kellõen gázos ISP hálózatát. A köztudottan VoIP képes szolgáltatók AS-ei különösen veszélyeztetettek. Egyébként az is elõfordulhat, hogy a forgalom nem arról az IP-rõl ment a központba, mint ami a juzeré. Ki kell kérni a SIP logot, hogy mutassák már meg és hogy ezt a zügyfél IP-jével gyorsan vessék össze.

Szerkesztette: andrej_ 2009. 01. 25. 21:26 -kor

[andrej_]

Idézet: Meister - Dátum: 2009. jan. 25., vasárnap - 20:01

Azért nem semmi, hogy egy db kábel elvágása után leáll a fél internet M.o.-on. Trékomnál valamit nagyon elszabtak.

Ilyenkor azon visítozom, hogy mindenki mindenféle überrendundáns hálózati linkekkel meg BIX-el jön. Elképzeltem, hogy valami megcsömörlött ciscoguru ült a markolóban és csak ennyit hallanak a közelben levõk: "Nesztek redundancia!". Minden esetre adott idõközönként jön valami bug, ami kideríti, hogy akkora SPOF-ok vannak bepakolva mindenféle helyeken hogy átesnek benne már munkába menet.

[adam.k]

Idézet: Meister - Dátum: 2009. jan. 25., vasárnap - 20:01

Azért nem semmi, hogy egy db kábel elvágása után leáll a fél internet M.o.-on. Trékomnál valamit nagyon elszabtak.

Ez a kabelvagas csak egy kis szelete a tortenetnek - a tobbivel van a problema.

[Jahno]

Idézet: andrej_ - Dátum: 2009. jan. 25., vasárnap - 21:20

Ha SIP végberendezést az ügyfél tartja karban akkor jó lépés lehet az 5060-as port helyett mást választani

Nekem eleve nem is sipes a cuccom, de ha egy melléknek el is találják a portját, meg jelszavát, alap beállításokkal akkor sem tudnak kifelé telózni. Itt kicsit törpösebb dologról lehetett szó. De van egy érzésem, sosem fogjuk megtudni.

[Meister]

Idézet: adam.k - Dátum: 2009. jan. 25., vasárnap - 22:27

Ez a kabelvagas csak egy kis szelete a tortenetnek - a tobbivel van a problema.

Remélem egyszer megtudjuk mi a valóság, mert egyre több helyen kezdenek kételkedni a vasárnapi autópályaépítésben...

[Jahno]

Idézet: Meister - Dátum: 2009. jan. 25., vasárnap - 22:33

Remélem egyszer megtudjuk mi a valóság, mert egyre több helyen kezdenek kételkedni a vasárnapi autópályaépítésben...

Sosem fogjuk megtudni. De az is igaz, hogy ilyeneket írtak nekem is:

http://forum.index.hu/Article/viewArticle?...04660&t=9016937

http://forum.index.hu/Article/viewArticle?...04688&t=9016937

[andrej_]

Idézet: Jahno - Dátum: 2009. jan. 25., vasárnap - 21:36

Nekem eleve nem is sipes a cuccom, de ha egy melléknek el is találják a portját, meg jelszavát, alap beállításokkal akkor sem tudnak kifelé telózni. Itt kicsit törpösebb dologról lehetett szó. De van egy érzésem, sosem fogjuk megtudni.

Akkor h323 (vagy vmi más csoda), de igazából itthon baromira sokan sipeznek, mint szolgáltatók.

Sokkal törpösebb dologról nincs szó, de ahogy írtam volt akinek a központját "hajtották" meg. A trükk lényege lehet, hogy sokszor a signalling/accounting és media gw tökre más. A media gw pedig egy VoIP-to-Ndb E1 (vagy nagyobbra) berendezés szokik lenni, amiben ha sotfwer bug vagy konfig hiba van, akkor könnyû telefosni. Persze ehhez a nagypályás arcok egyéb erõforrásai is kellhetnek, mint pl. hamis IP-k.

[debianforever]

Idézet: Jahno - Dátum: 2009. jan. 25., vasárnap - 22:39

Sosem fogjuk megtudni. De az is igaz, hogy ilyeneket írtak nekem is:

http://forum.index.hu/Article/viewArticle?...04660&t=9016937

http://forum.index.hu/Article/viewArticle?...04688&t=9016937

Emlékeztek 2006. nyarára vagy õszére ? Akkor az árpád hídi europe towers építkezésen talált a markoló valami üvegszerût, amitõl a budai oldalon - fel esztergomig - két napig nem volt semmi digitális jel egy kanócban sem.

Ezekbõl az esetekbõl lehet következtetni a fene nagy redundanciára illetve arra, hogy 1 db JCB markoló komplexitása felér az egész internet infrastruktúra komplexitásával, hiszen egy mozdulattal tönkre tudja tenni, míg fordítva esélytelen a dolog

[pgyafi]

Idézet: Meister - Dátum: 2009. jan. 25., vasárnap - 23:33

Remélem egyszer megtudjuk mi a valóság, mert egyre több helyen kezdenek kételkedni a vasárnapi autópályaépítésben...

Én sem hiszek benne 

[Jahno]

Úgy nézem EnterNet idõnként elhagyja magát, proserver azt mondja, hogy BIX-es router probléma. Standard számuk mûszaki okok miatt nem kapcsolató, szerintem az is IP alapú, oszt éppen döglött vala, ésvagy

[Meister]

Idézet: Jahno - Dátum: 2009. jan. 28., szerda - 21:44

Úgy nézem EnterNet idõnként elhagyja magát

http://www.bix.hu/index.php3?lang=en&page=...-2&portid=Te8/2

[Red]

Idézet: Jahno - Dátum: 2009. jan. 28., szerda - 21:44

Úgy nézem EnterNet idõnként elhagyja magát, proserver azt mondja, hogy BIX-es router probléma. Standard számuk mûszaki okok miatt nem kapcsolató, szerintem az is IP alapú, oszt éppen döglött vala, ésvagy

Szerintem most ert el hozzajuk a vasarnapi T-s orulet

[blacii]

Sziasztok.

Bocsánat hogy nem olvasok vissza, de 1 fontos kérdésem lenne amire gyors választ szeretnék.

Szóval az lenne a kérdésem hogyha regelek 1 domain-t (tárhely nélkül), és külön 1 ingyenes tárhelyet regelek (www.00webhost.com) akkor a névszervereket hogy/hol kell megadnom. Hallottam már azt hogy a domain regisztrálónál a regisztrációkor kell a tárhelyszolgáltató névszervereit megadnom, illetve azt is hogy a domain regisztrátor névszervereit a tárhelyszolgáltatónál. Nem értek ehhez õszintén szólva, így örülnék ha valaki felvilágosítana a témában ;p

Köszönöm

Szerkesztette: blacii 2009. 02. 07. 13:53 -kor