Прошлась безопасность со своими тестировщиками по сетке и
определили кучу уязвимостей в проколе https в телефонах OS HFA подключенных к HP3800
вопрос - вообще https как то выключается на телефоне ?
я конечно конечно понимаю бредовость идеи - теряю удаленный доступ и обновления - но вопрос остался в воздухе и безопасность буянит .....
iskander42
02.05.2017, 18:52
В отдельный vlan и сделать недоступность для пользовательской сети акромя избранных маршрутами или акссеслистами.
iskander42
02.05.2017, 19:00
у меня однажды безопасность по Hipath3800 прошлась своими сканерами. Все АТС по перезагружались после их периодичного сканирования портов. Пока им логи не предоставил неизвестный апликейшн пытается зайти в АТСУ и не могёт, но АТС от этого плохо. Задело ж и верхушку айсберга связь как воздух. Выход - безопасность напрягла сетевиков где они сделали отдельный VLAN куда безопасность больше не совалось.
Ancle Fedor
02.05.2017, 20:09
Саша, ты хочешь сказать, что VLAN - абсолютно _нормальный_ выход из данной ситуации?
Мне это актуально.
Пока.
Олег.
iskander42
03.05.2017, 10:41
В моём случае совершенно нормальный отвечают сетевики и админики сети. ВОт что на этот счет вики пишет http://wiki.unify.com/wiki/Restrict_admin_access
я правильно понял что возможность отключить https есть только с релиза V3 R0 ???
но опять же не все ......
Ancle Fedor
03.05.2017, 14:28
...отвечают сетевики и админики сети...
Это всё понятно...
А как с "настройкой" к примеру/в частности/хотя бы того же номера VLAN на самом IP аппарате?
Ручками на каждом ???
.... Мне работы на месяц :( ...
Пока.
Олег.
iskander42
03.05.2017, 15:06
Опции у DHCP (http://wiki.unify.com/wiki/VLAN_ID_Discovery_over_DHCP) и флаг DLS (http://wiki.unify.com/wiki/Deployment_Service) в руки можно сократить в разы сей труд.
V3 R0 - у меня такая, но там такой вкладки не нашёл. В доках где релиз уже третий вроде как есть такая вкладка. (http://wiki.unify.com/images/1/1b/Administration_Manual_OpenStage_OpenScape_Voice.pd f)
я пробовал ставить на телефон HFA V3 версии - но полноценно не заработали они с моей станцией, то голоса нет то экран не работает
потом замучался их возвращать на V2
по ходу только отдельным VLAN-ом можно спастись от безопасников ))
а если все таки нащюпывать версию V3 с каким нить релизом стабильно работающим с моей АТС да потом еще и сервис DLS ставить - то там тоже по ходу найдут какие нить дырки - воще замучают ))
Ancle Fedor
03.05.2017, 16:37
Опции у DHCP (http://wiki.unify.com/wiki/VLAN_ID_Discovery_over_DHCP) и флаг DLS (http://wiki.unify.com/wiki/Deployment_Service) в руки можно сократить в разы сей труд
Ок. Сам реально этим пользовался ?
Тока честно говори :).
Я обсуждаю только DLS.
У будет реально работать на ... многих/других производителях ?
Заранее спасибо.
Олег.
ЗЫ. Я не сетевик-затейник. Очень поверхностные знания.
ЗЫЫЫ. Надеюсь не будем переходить на коммутаторы хотя-бы 3-го уровня :) :) :) Шутка.
iskander42
03.05.2017, 17:27
DHCP опцией напряг в своё время сетевиков и она необязатаельно. Поскольку если знаешь в какой подсети телефоны можно данную подсеть просканировать этой самой DLSой определив телефоны. И дальше творить что хошь с телефонами какой у тебя номер, и на какую у тебя HG его отправить т.п. Заточено под семенов вроде только
iskander42
03.05.2017, 17:40
V3 значит типа покупай OSVoice . Политика толстых вендоров вроде ясна - менять парк каждые три года - менеджмент. АТС не поменял живи значит со старыми прошивами и претензий по обнове и не работе полных функций не предъявляй. Можешь токо в договоре в закупках озвучить как обязательное условие тогда это забота интегратора чтобы напрягли (заплатили) вендоров(ам) и подстарые АТС запилили сей нужные момент.
Это я уже давно понял )))
Ancle Fedor
04.05.2017, 11:40
Оба Саши, извиняйте.:(
Вы про одно, я про третье.. Извините, что вашу тему занимаю...
У меня просто небольшой зоопарк из HP4000 (остались на нём только аналоговые телефоны) + ПРОТЕЙ (ввсвязи с переходом на 268 приказ) + недольшой проблем - 300 IP аппаратов (итого/разных мастей... Сименсы, Длинки, Циски, Линксисы, Медиатриксы, Панасоники, дальше не помню... я про IP), которые мне и предлагают выделить в VLAN. Наши сетевики готовы. А вот мне...© Нет, я не плачу, и не рыдаю... (Андрей Миронов "12стульев")
:( Почти... шутка...
Пока.
Олег.
iskander42
04.05.2017, 13:21
Когда знаешь всё просто (https://voxlink.ru/kb/voip-devices-configuration/dhcp-vendor-class/). Для меня это проблема на той стороне.
Оба Саши, извиняйте.:(
Вы про одно, я про третье.. Извините, что вашу тему занимаю...
У меня просто небольшой зоопарк из HP4000 (остались на нём только аналоговые телефоны) + ПРОТЕЙ (ввсвязи с переходом на 268 приказ) + недольшой проблем - 300 IP аппаратов (итого/разных мастей... Сименсы, Длинки, Циски, Линксисы, Медиатриксы, Панасоники, дальше не помню... я про IP), которые мне и предлагают выделить в VLAN. Наши сетевики готовы. А вот мне...© Нет, я не плачу, и не рыдаю... (Андрей Миронов "12стульев")
:( Почти... шутка...
Пока.
Олег.
дык сетевики это должны знать как правильно все раздать..... все в DHCP есть )
у вас то как раз не все плохо. АТС 4000 )) а вот в куды мне бежать с АТС 3800 да еще версии V7 )))
Ancle Fedor
04.05.2017, 16:49
Ребята, спасибо !
Выйду из отпуска - попрошу наших админов повнимательней "подумать".
Возможно это моя "надуманная" проблема...
Искандеру за ссылку на срипт - отдельный респект.
Пока.
Олег.
Дядя Фёдор, я чейто не пойму зачем тебе заморачиваться по проводу вланов?
Ты айтишникам скажи - моя хочет под телефоны отдельный влан. Вот и пусть думают.
Порты под АТС они знают. Под телефоны наверное тоже :)
Дядя Фёдор, я чейто не пойму зачем тебе заморачиваться по проводу вланов?
Ты айтишникам скажи - моя хочет под телефоны отдельный влан. Вот и пусть думают.
Порты под АТС они знают. Под телефоны наверное тоже :)
дык и я мы про что ...... я своих озадачил - но там есть проблема - если телефоны настроены вручную и учитывая солянку у дяди Федора я представляю вал заморочек которые нужно пройти - каждого вендора подстроить и каждый телефон заресетить так чтобы он автоматом все подхватывал..... это минималка - но ее с головой хватает
дык и я мы про что ...... я своих озадачил - но там есть проблема - если телефоны настроены вручную и учитывая солянку у дяди Федора я представляю вал заморочек которые нужно пройти - каждого вендора подстроить и каждый телефон заресетить так чтобы он автоматом все подхватывал..... это минималка - но ее с головой хватает
Что Вы с Федором заморачиваетесь? Это все проблемы сетевиков.
Нужно просто поставить сетевому админу задачу, чтобы настройка VLAN`ов не требовала выставления тэгов на оконечном оборудовании (телефонах/медиашлюзах АТС). Телефон включается в USER порт сетевого коммутатора (принимающий нетэгированные пакеты). Далее коммутатор сам помечает (тэгирует) эти пакеты и отправляет в сеть уже через TRUNK порт (в котором пакеты тэгированы). Коммутатор, к которому подключены медиашлюзы АТС делает обратную процедуру - очищает пакеты от тэгов перед отдачей медиашлюзу. Т.е. на нашем (связистском) железе доп. настроек может не быть.
Взлетит, если сеть в корпорации построена на нормальных управляемых коммутаторах, а не на дешевом дер... .
Нужно просто поставить сетевому админу задачу, чтобы настройка VLAN`ов не требовала выставления тэгов на оконечном оборудовании (телефонах/медиашлюзах АТС). Телефон включается в USER порт сетевого коммутатора (принимающий нетэгированные пакеты). Далее коммутатор сам помечает (тэгирует) эти пакеты и отправляет в сеть уже через TRUNK порт (в котором пакеты тэгированы). Коммутатор, к которому подключены медиашлюзы АТС делает обратную процедуру - очищает пакеты от тэгов перед отдачей медиашлюзу. Т.е. на нашем (связистском) железе доп. настроек может не быть.
Взлетит, если сеть в корпорации построена на нормальных управляемых коммутаторах, а не на дешевом дер... .
А потом выясняется, что ПК подключены через встроенные коммутаторы телефонов и должны быть в отдельном VLAN.
Ancle Fedor
05.05.2017, 12:56
© Мама дорогая...
Выйду на работу, озвучу, а потом (если что) aMster и lq74 пусть пеняют на свою:) сторону.
2 jetc
Именно так и есть :( (Правда немного, но есть)
Пока.
Олег.
© Мама дорогая...
Выйду на работу, озвучу, а потом (если что) aMster и lq74 пусть пеняют на свою:) сторону.
2 jetc
Именно так и есть :( (Правда немного, но есть)
Пока.
Олег.
Ох и флудерастик вы сударь Олег! ;) :D
А потом выясняется, что ПК подключены через встроенные коммутаторы телефонов и должны быть в отдельном VLAN.
в точку )
А потом выясняется, что ПК подключены через встроенные коммутаторы телефонов и должны быть в отдельном VLAN.
Продолжайте дальше экономить на проводке и портах коммутаторов.
Насколько я помню, то можно с одного порта коммутатора тоже в разные vlan'ы раскидывать. Коммутатор должен уметь.
а мы че )) мы же только советчики )) но зачастую люди которые сидят на деньгах этих советов не хотят слышать ...... примеров плачевных туча ....
так что будем решать каждый по своему с использованием болевых точек ))
Насколько я помню, то можно с одного порта коммутатора тоже в разные vlan'ы раскидывать. Коммутатор должен уметь.
С порта коммутатора можно настроить выдачу или тегированого, или нетегированного трафика. Фактически можно гибко применять сетевые настройки и где-то выдать нетегированный трафик, чтобы Федор не перенастраивал телефоны, а где-то выдать тегировнный трафик на телефон, который на себе разделяет VLAN`ы (свой и включенного в него компа). Есс-но на этом телефоне VLAN`ы придется настроить.
Продолжайте дальше экономить на проводке и портах коммутаторов.
Еще как.
Причем, все будет работать.
Еще как.
Причем, все будет работать.
А если не будет, то компьютерный и телефонный админы будут перепихивать проблему друг на друга.
А если не будет, то компьютерный и телефонный админы будут перепихивать проблему друг на друга.
Сколько я этих "компьютерных" админов в доки носами перетыкал- не счесть.