Автор Тема: Безопасность SIP телефонии, что начинать читаь прям сразу и куда бечь?  (Прочитано 8023 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Вот прямо вчера началось, посыпались звонки с несуществующих номеров 1001, 1002... и.т.п.
Станция не моя, станция виртуальная у поставщика услуг, цитирую....

Подобный взлом производится минуя наши сервера. Запросы направляются напрямую на sip оборудование. Поэтому на софтфоны вызовы не поступают. Работу необходимо  проводить в направлении улучшения сетевой безопасности.

Ну ок, как бы во первых телефоны сидят у меня внутри моей сети, за NAT, регистрируются они на SIP сервере поставщика услуги, тогда как проламываются ко мне?

Как уже спрашивал, чего курить то в первую очередь?
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн FessAectan

  • Модератор
  • Старожил
  • *****
  • Сообщений: 972
  • Рейтинг: 25
  • Пол: Мужской
  • На пути к просветлению
    • fessae@jabber.ru
    • fessae
    • Просмотр профиля
    • https://vistep.ru/
  • Откуда: vistep.ru
Маршрутизатор свой курить я думаю, смотреть чего разрешено и может его таки запретить.
Я к тому, что в первую очередь я бы посмотрел какой трафик у меня разрешен, а какой запрещен на пограничном маршрутизаторе.
Мы переоцениваем себя завтрашнего, поэтому и страдаем прокрастинацией.

Оффлайн ds0m

  • Ветеран
  • *****
  • Сообщений: 1299
  • Рейтинг: 22
  • Пол: Мужской
    • ds0m.spb@gmail.com
    • Просмотр профиля
  • Откуда: DC
Я к тому, что в первую очередь я бы посмотрел какой трафик у меня разрешен, а какой запрещен на пограничном маршрутизаторе.
И главное, откуда он разрешен и куда он разрешен =)
<root> помимо принципа "работает - не трогай", есть ещё один важный принцип - "бритва Оккама" - "не приумножай сущность сверх необходимости"
А спонсор этого поста - прививка от бешенства. Прививка от бешенства - не твоя, вот ты и бесишься.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Ну там ветер гуляет.

interface FastEthernet1
ip address 212.100.***.116 255.255.255.248
ip route 0.0.0.0 0.0.0.0 212.100.***.113
ip nat inside source list 24 interface FastEthernet1 overload
access-list 24 permit 192.168.0.0 0.0.1.255
access-list 24 permit 192.168.2.0 0.0.0.255
access-list 24 permit 192.168.3.0 0.0.0.255
access-list 199 deny   tcp any any eq smtp
ip nat inside source list 24 interface FastEthernet1 overload

Но, я не понимаю, как они могут заходить на меня снаружи если у меня только динамический NAT для адресов внутренней сети,
есть ещё и статика, но она четко на определенные адреса.
ip nat inside source static 192.168.1.188 94.79.**.2 extendable
ip nat inside source static 192.168.1.189 94.79.**.3 extendable
ip nat inside source static 192.168.1.190 94.79.**.4 extendable
ip nat inside source static 192.168.1.191 94.79.**.5 extendable
ip nat inside source static 192.168.1.192 94.79.**.7 extendable
ip nat inside source static 192.168.1.193 94.79.**.8 extendable
ip nat inside source static 192.168.1.194 94.79.**.9 extendable
ip nat inside source static 192.168.1.195 94.79.**.10 extendable
ip nat inside source static 192.168.1.196 94.79.**.11 extendable
ip nat inside source static 192.168.1.197 94.79.**.12 extendable
ip nat inside source static tcp 192.168.1.248 25 212.100.***.116 ** extendable
ip nat inside source static tcp 192.168.1.248 110 212.100.***.116 *** extendable
ip nat inside source static tcp 192.168.1.248 443 212.100.***.116 *** extendable
ip nat inside source static 192.168.1.207 212.100.***.117 extendable
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн FessAectan

  • Модератор
  • Старожил
  • *****
  • Сообщений: 972
  • Рейтинг: 25
  • Пол: Мужской
  • На пути к просветлению
    • fessae@jabber.ru
    • fessae
    • Просмотр профиля
    • https://vistep.ru/
  • Откуда: vistep.ru
Triangle, а кинь в личку реальный ип, посмотрю сканером


Updated: 28 June 2016, 13:20:07

А что за сервис, где виртуальная АТС?
Не задарма часом?
« Последнее редактирование: 28 июня 2016, 13:20:07 от FessAectan »
Мы переоцениваем себя завтрашнего, поэтому и страдаем прокрастинацией.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Станция МТТ, виртуальная АТС, у них, у меня вебморда для управления ей, честно говоря восхищен, сумели сделать простой, удобный продукт, этой станции не нужен даже админ если честно.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн FessAectan

  • Модератор
  • Старожил
  • *****
  • Сообщений: 972
  • Рейтинг: 25
  • Пол: Мужской
  • На пути к просветлению
    • fessae@jabber.ru
    • fessae
    • Просмотр профиля
    • https://vistep.ru/
  • Откуда: vistep.ru
Я с ними давно работаю, только по другому продукту.
Саппорт вполне адекватен, так что помогут разобраться.
Мы переоцениваем себя завтрашнего, поэтому и страдаем прокрастинацией.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Цитировать
Добрый день, Ульяна!
Сообщаем Вам, что звонки с коротких номеров (100, 101, 1000, 100001 и т.д.) означают попытки подбора и взлома пароля Вашего аккаунта злоумышленниками. Система MTTBussines воспринимает такие попытки как входящие звонки с подобных номеров. В данной ситуации поможет смена пароля от личного кабинета (установите на порядок сложнее). ВАЖНО: Обязательно необходимо провести меры по обеспечению безопасности (сетевая защита (настройка firewall), дизайн сети (разделение голоса и данных в разные Vlan, VPN), анализ логов (fail2ban), защита планом маршрутизации звонков (dialplan), защита периферийных устройств, надежные пароли);                     
Спасибо, что выбрали нас. Благодарим Вас за обращение в нашу Компанию.                                    
С уважением, Команда МТТ

Ну ладно я готов побыть даже Ульяной, но...
Блин о каком пароле они говорят на всех 46 аккаунтах пароли из серии, застрелитесь все враги.
Настройка firewall, дизайн сети, разделение VLAN, не понимаю что они от меня хотят...
fail2ban, логи... АТС у них или у меня, аллё...

Если чо у меня наружу ничего не торчит.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн paxa_amo

  • Начинающий
  • *
  • Сообщений: 30
  • Рейтинг: 2
    • Просмотр профиля
  • Откуда: Миасс
Triangle,
Возможно на телефонах включен Direct IP call, попробуйте отключить.
Также лучше отключить прием анонимных звонков.
Вероятнее всего, АТС тут вообще ни при чем, просто какой-то завирусованный комп пакостит.
Встречал такую беду у грандстримов http://grandstreamnetworks.ru/content/view/72/74/
Звонки валяться на какие-то конкретные телефоны или на все?

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Рандомно, иногда на все, иногда на отдельные. Локальные SIP порты сменил, директ вроде как проверял что выключен. Анонимные звонки, проверю, пока так на вскидку не помню, завирусованый комп, ну теоретически это конечно возможно. Но как отловить, не надумывается. Телефоны Yealink и Panasonic(dect), бесятся и те и другие. Во вторник детально проверю все эти варианты.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн paxa_amo

  • Начинающий
  • *
  • Сообщений: 30
  • Рейтинг: 2
    • Просмотр профиля
  • Откуда: Миасс
Triangle,
Может быть есть возможность изолировать часть телефонов, хотя бы пару-тройку штук, в отдельный VLAN, запретив доступ в этот VLAN из других сегментов сети? Пусть из этого VLAN будет доступ только до АТС и больше никуда. И  посмотреть что из этого получится, тогда вы точно поймете на чьей стороне проблема, на Вашей или АТС.

ЗЫ: рекомендации по настройке yealink для защиты от спам-звонков http://mangohelp.ru/index.php/Yealink_SPAM

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Возможно на телефонах включен Direct IP call, попробуйте отключить.
А каким образом Direct Call может быть использован злодеями? Что-то не догоню никак.  ???

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
shs, Ну если предположить что какая то дрянь уже внутри моей сети...
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
shs, Ну если предположить что какая то дрянь уже внутри моей сети...
То?  ???

Оффлайн paxa_amo

  • Начинающий
  • *
  • Сообщений: 30
  • Рейтинг: 2
    • Просмотр профиля
  • Откуда: Миасс
Возможно на телефонах включен Direct IP call, попробуйте отключить.
А каким образом Direct Call может быть использован злодеями? Что-то не догоню никак.  ???

Я честно говоря тоже не могу придумать, возможно таким образом выявляют телефоны в сети, чтобы потом пытаться на них каким-то образом зайти, а может тупо из желания напакостить, ведь мало приятного когда телефоны впустую трезвонят весь день:)