Grandstream Quick IP Call a nebezpečný router

[Pitomec]

Jak jsem zjistil, tak tato funkce je dostupná pouze v případě, kdy je v jedné interní síti každý telefon (který chce toto využívat) registrován na vnitřním portu 5060. Při použití jakéhokoliv jiného portu Quick IP Call nefunguje. Nebo to lze nějak vyřešit?

[xsouku04]

Některá zařízení (Např. vrátníky - otvírače domovních dveří, PAP2T - nevím, jestli k nim patří Grandstream) umožňují nastavit speed dial, nebo kontakty i na SIP URL, kde je možné specifikovat i port.

Jinak použití portu 5060 nemusí znamenat žádné problémy, zvláště pokud máte možnost volby routeru a ten je šikovně přemapuje do internetu.

Doporučení nepoužívat ve vnitřní síti port 5060 a nastavit každé zařízení, aby používalo jiný lokální port, je především prevence proti nevhodně se chovajícím/zabagovaným routerům.

[Pitomec]

O to právě jde, při použití portu 5060 dochází dost často k podivným (zejména nočním) hovorům, kdy je na druhé straně ticho a ve výpisu se také nic neobjeví. Po změně portu jinam toto ustane, ale bohužel tím zmizí i možnost quick ip call. A taky mně u Grandstreamu vadí, že není možné uložit kontakt v podobě IP adresy (což třeba Siemens Gigaset umí), protože tím by byl - pro mě - problém vyřešen (místo quick ip call by se prostě volalo na vnitřní IP adresu v celé délce, vytočením daného kontaktu z adresáře).

[xsouku04]

No ideální by to bylo řešit změnou nastavení, nebo výměnout routeru (NATu).
Tohle chová je totiž nebezpečné samo o sobě.

Otevřít port 5060 na veřejné adrese pro kohokoli a přesměrovávat všechny pakety, co přijdou na tento port, na Grandstream telefon je nehorázná hloupost a zbytečnost. V tomto konkrétním případě to nebezpečné není, ale může to být otravné.
Port 5060 na veřejné ip adrese routeru/NATu by měl být otevřený jen pro komunikaci, co přijde z ip adresy sip.odorik.cz tedy 81.31.45.51 .

[Pitomec]

Jasně, to by bylo ideální řešení. Bohužel ale ten router (obyč. TP-Link) toto neumí a investovat do něčeho na úrovni Mikrotiku zase není reálné kvůli ceně. Zatím to nechám tak a pokud by se vyskytly nějaké větší obtíže, tak porty změním a quick ip call nahradím voláním na číslo linky u Odoriku (sice jsem se tomu chtěl vyhnout, ale nedá se nic dělat).

[xsouku04]

Jasně, to by bylo ideální řešení. Bohužel ale ten router (obyč. TP-Link) toto neumí a investovat do něčeho na úrovni Mikrotiku zase není reálné kvůli ceně. Zatím to nechám tak a pokud by se vyskytly nějaké větší obtíže, tak porty změním a quick ip call nahradím voláním na číslo linky u Odoriku (sice jsem se tomu chtěl vyhnout, ale nedá se nic dělat).

Není to o ceně, ale o hlouposti a zodpovědnosti vývojáře konkrétního routeru. Ještě přesněji o typ zvoleného NATu.
http://cs.wikipedia.org/wiki/STUN


Nebezpečný typ NATu je Full-cone NAT. Možná ochrana, kterou by mohl NAT jako takový poskytnout, se nekoná a jste na tom jen o málo lépe, než kdyby všechna Vaše zařízení měla veřejnou IP adresu.

Detekovat to lze pomocí nástrojů STUN, v Linuxu velmi jednoduše:

Kód: Vybrat vše

aptitude install stun
stun stun.sipgate.net
# řádky níže vrátil program jako výsledek:
STUN client version 0.96
Primary: Indepndent Mapping, Port Dependent Filter, preserves ports, no hairpi

Kde stun.sipgate.net je jeden z veřejných STUN serverů.

Podle vysvětlení ve starším vláknu na našem fóru mám v mém případě Port-Restricted Cone NAT, tedy je to v pořádku.


Pokud máte Windows, použijte pro zjištění Vašeho typu NATu naši Java aplikaci - viz šipka v přiložené obrázku.


Bohužel prodejce a výrobci routerů uvádí nebo umožňují nastavit kdejakou blbost, nejpodstatnější vlastnost je ale velmi těžké zjistit. Možná bezpečnější typ NATu výrobce chybně nazývá jako funkci "firewall" a je třeba ji zapnout.
Doporučuji si tedy objednat nejlevnější router, otestovat jej a poté případně vrátit prodejci s tím, že zamlčel podstatnou informaci a požadovat jiný.

Nebo je zde něco, co mi uniklo? Existuje jednodušší způsob jak si pořídit bezpečný typ routeru za nízkou cenu?

V každém případě typ NATu je první věc, kterou je dobré zkontrolovat, pokud vám jde o bezpečnost.
Instalovat si na jednotlivé počítače různé firewally a přitom mít Full-cone NAT (a nemít k tomu pádný důvod) je pěkná pitomost. Pokud má někdo Asterisk za takovým typem NATu a spoléhá na NAT jako ochranu proti útokům, může to pak mít velmi drahé, zvláště pokud daný Asterisk používá GSM brány nebo ISDN, kde na fraudy nejsou zvyklí a k zablokování doje až po velmi dlouhé době. Různí "experti" pak dávají různé chytré rady, ale že možná v polovině těch případů za to může především nebezpečný typ NATu je tajemství. Nikdo tento detail nezveřejní a tak se to zde snažím napravit. Jeden příklad velké škody - http://www.novinky.cz/krimi/284946-utok ... lionu.html - pochybuji, že nechali špatně zabezpečený Asterisk na veřejné adrese - takové chyby se zas až tak často nedělají - navíc veřejné adresy jsou vzácné a bylo by škoda ji vyčlenit jen Asterisku.

Osobně vím o jednom případu, kterým jsem se pokoušel objasnit škodu za 160 tisíc. Útočník "uhádl" slabá hesla na Asterisku za NATem a poté uskutečňoval hovory do aleluja přes ISDN. Ten, kdo Asterisk původně nastavoval, s tím pochopitelně už nic nechtěl mít, protože nedostával pravidelný poplatek za "údržbu" ústředny. I když děravý nebyl Asterisk a tahle chyba tam byla od samého začátku - je pravděpodobné, že by problém neobjevil, ani kdyby se poplatek platil. Aby útočník měl přístup na sip port Asterisku stačilo, že byl přihlášen třeba jen k jedinému VoIP operátorovi, čímž došlo k nevhodnému namapování SIP portů.

A na začátku toho všeho je jen zlozvyk výrobců routerů nepsat, jaký typ NATu poskytují. Opravdu potřebujete vlastní asterisk/ústřednu, nebo si vystačíte s tím co nabízí Odorik.cz?

[vpe]

Jasně, to by bylo ideální řešení. Bohužel ale ten router (obyč. TP-Link) toto neumí a investovat do něčeho na úrovni Mikrotiku zase není reálné kvůli ceně. Zatím to nechám tak a pokud by se vyskytly nějaké větší obtíže, tak porty změním a quick ip call nahradím voláním na číslo linky u Odoriku (sice jsem se tomu chtěl vyhnout, ale nedá se nic dělat).

Prosimte, mikrotik stoji skoro stejne, jako to link, tedy do litru s prehledem.

[Pitomec]

To bohužel zrovna v tomto případě nestojí, protože teď je tam TP-LINK TL-WR1043ND v2 (WiFi, Gbps porty, CPU 720MHz, paměť 64MB) za 1600Kč, přičemž za stejné peníze pořídím v Mikrotiku router sice taky s Gbps porty, ale bez WiFi a s CPU jenom 400MHz nebo router s WiFi, s CPU 600MHz, ale porty jsou zase jenom 100Mbps. Ono jde hlavně o to, že ten router obsluhuje až kolem 50 zařízení, takže tam nemůžu šoupnout něco za litr (a majitel té sítě zase není příliš ochotný investovat, ten Mikrotik se mu nabízel už kdysi a bez odezvy).