Neustálé zvonění telefonu - scanování sítě?

tls,srtp,zrtp a bezpečnostní potíže VoIP

Neustálé zvonění telefonu - scanování sítě?

Příspěvekod petrmvd » sob 24. lis 2018 13:30:22

Kolegové,

už přibližně 3 dny nám zvoní VoIP telefon, číslo volajícího je obvykle nějaké nesmyslné číslo, jako 217, 3100 3100, 1000 1000 atd. Ze začátku příležitostně, dnes v podstatě neustále.

Ve výpisech volání Odorik se nic takového neukazuje. Vypadá to, jako by někdo scanoval síť, ovšem nepodařilo se mi přijít na to, odkud by mohl problém pocházet.

Telefon je za domácím routerem, za NATem, nepřístupný z veřejné internetové sítě. Žádné přesměrování portů není nastaveno. UPnP je vypnuto. Postupně jsem povypínal všechny počítače v lokální síti, abych vyloučil možnost napadení některého z nich, který by scanoval vnitřní síť. Nic se neprokázalo. Jediné, co problém přeruší, je odpojení routeru od internetu nebo jeho vypnutí. Router jsem vymazal na tovární nastavení, změnil nastavení přístupu a nakonfiguroval komplet znovu. Jakmile byl připojen k internetu, problém se okamžitě objevil znovu. :x

Bylo by možné zkontrolovat, že tento nepatřičný provoz nepochází ze sítě Odoriku, zda není nějaké napadení tam? Popřípadě jaké další kroky lze podniknout k eliminaci nebo vypátrání zdroje problému?

Děkuji!
petrmvd
 
Příspěvky: 8
Registrován: čtv 18. črc 2013 14:24:26

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvekod jadu » sob 24. lis 2018 18:31:43

Dobrý den, zkuste odhlásit telefon od poskytovatele/ů a pokud bude zvonit dál, pak hovory nejdou přes operátora/y.
jadu
 
Příspěvky: 86
Registrován: pon 09. úno 2015 14:35:30

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvekod Pitomec » sob 24. lis 2018 20:04:33

Telefon je defaultně nastavený na port 5060, který routerem samozřejmě proleze a někdo zvenčí tak zkouší dostupnost. Takže ho nastavit na port jiný, viz třetí odpověď odspodu: http://www.odorik.cz/w/casto-pokladane-dotazy
Obrázek
Uživatelský avatar
Pitomec
 
Příspěvky: 1959
Registrován: ned 27. lis 2011 22:26:33
Bydliště: Brno

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvekod xsouku04 » sob 24. lis 2018 20:19:28

Ten NAT, co máte, je nebezpečný typ a dovolí komunikovat s vaším telefonem komukoli z internetu, i když je to zbytečný nesmysl. Tento nesmysl má i jméno a jmenuje se "Fullcone NAT".
Viz viewtopic.php?f=32&t=3390
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6712
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvekod petrmvd » sob 24. lis 2018 21:41:32

Děkuji všem za nápady!

Fullcone NAT nemám, mám "Restricted NAT". Provedl jsem scan z venku (včetně UDP a portu 5060) a žádný port není otevřený.
Poté, co jsem ještě restartoval telefon (po reinstalaci routeru), zvonění ustalo. Tak uvidíme, pokud by se ještě problém opět objevil, budu zkoumat dál.
petrmvd
 
Příspěvky: 8
Registrován: čtv 18. črc 2013 14:24:26

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvekod xsouku04 » ned 25. lis 2018 16:44:13

petrmvd píše:Děkuji všem za nápady!

Fullcone NAT nemám, mám "Restricted NAT". Provedl jsem scan z venku (včetně UDP a portu 5060) a žádný port není otevřený.
Poté, co jsem ještě restartoval telefon (po reinstalaci routeru), zvonění ustalo. Tak uvidíme, pokud by se ještě problém opět objevil, budu zkoumat dál.


To je zajímavé. Ještě bych připomněl, že UDP nemá žádné stavy jako otevřený a zavřený port. Tedy oskenovat se port dá jen tak, že se pošle rovnou nějaký SIP paket, na který telefon odpoví. Proto je možné, že útočník, aby mohl skenovat, posílá právě rovnou ten hovor, a tedy jako vedlejší produkt telefon zvoní.
Osobně jsem se s tím nesetkal, naši zákazníci to hlásí tak jednou za půl roku a zatím vždy zabralo změnit lokální port na telefonu z 5060 na jiné náhodné číslo. Když použijete na telefonu jiný port, třeba 47829, tak se přemapuje i na router a útočníci skenují hlavně 5060.

Buď je moje teorie o nebezpečném typu NATu chybná, nebo je to nějaký jiný bug v tom, jak funguje onen NAT o chová se nebezpečně jen někdy.

Napadá mne, že by útočník mohl podvrnout ip adresu odesilatele paketu (tedy třeba odoriku). Ale to mi nesedí, protože útočník jednak neví, jakou ip adresu, a také by mu to na nic nebylo, protože odpověď nikdy nedostane.
Také by útočník mohl adresovat neveřejnou ip adresu přímo, ale tam je pak s podivem, že to přes kus internetu projde. Nemělo by, ale na fóru root.cz jsem byl ubezpečen, že spoléhat se na to nelze. Opět je to ale špatné chování routeru, protože ten by měl adresování neveřejné ip adresu z venku dovnitř nepropustit. Je možné, že tohle router nazývá firewall a musí se to zapnout. Bohužel, co je ale přesně ona funkce firewall, nebývá moc dobře zdokumentováno.
A poslední možnost je, že by sken prováděl útočník přímo z lokální sítě. S tím jsem se také ale nikdy nesetkal.

On je tento problém zjevně důležitější, než to na první pohled vypadá, protože by pak mohl útočník dělat i jiné věci, než vám v noci vyzvánět.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6712
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno


Zpět na Bezpečnost a šifrování hovorů

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník