Stránka 1 z 1

Neustálé zvonění telefonu - scanování sítě?

PříspěvekNapsal: sob 24. lis 2018 13:30:22
od petrmvd
Kolegové,

už přibližně 3 dny nám zvoní VoIP telefon, číslo volajícího je obvykle nějaké nesmyslné číslo, jako 217, 3100 3100, 1000 1000 atd. Ze začátku příležitostně, dnes v podstatě neustále.

Ve výpisech volání Odorik se nic takového neukazuje. Vypadá to, jako by někdo scanoval síť, ovšem nepodařilo se mi přijít na to, odkud by mohl problém pocházet.

Telefon je za domácím routerem, za NATem, nepřístupný z veřejné internetové sítě. Žádné přesměrování portů není nastaveno. UPnP je vypnuto. Postupně jsem povypínal všechny počítače v lokální síti, abych vyloučil možnost napadení některého z nich, který by scanoval vnitřní síť. Nic se neprokázalo. Jediné, co problém přeruší, je odpojení routeru od internetu nebo jeho vypnutí. Router jsem vymazal na tovární nastavení, změnil nastavení přístupu a nakonfiguroval komplet znovu. Jakmile byl připojen k internetu, problém se okamžitě objevil znovu. :x

Bylo by možné zkontrolovat, že tento nepatřičný provoz nepochází ze sítě Odoriku, zda není nějaké napadení tam? Popřípadě jaké další kroky lze podniknout k eliminaci nebo vypátrání zdroje problému?

Děkuji!

Re: Neustálé zvonění telefonu - scanování sítě?

PříspěvekNapsal: sob 24. lis 2018 18:31:43
od jadu
Dobrý den, zkuste odhlásit telefon od poskytovatele/ů a pokud bude zvonit dál, pak hovory nejdou přes operátora/y.

Re: Neustálé zvonění telefonu - scanování sítě?

PříspěvekNapsal: sob 24. lis 2018 20:04:33
od Pitomec
Telefon je defaultně nastavený na port 5060, který routerem samozřejmě proleze a někdo zvenčí tak zkouší dostupnost. Takže ho nastavit na port jiný, viz třetí odpověď odspodu: http://www.odorik.cz/w/casto-pokladane-dotazy

Re: Neustálé zvonění telefonu - scanování sítě?

PříspěvekNapsal: sob 24. lis 2018 20:19:28
od xsouku04
Ten NAT, co máte, je nebezpečný typ a dovolí komunikovat s vaším telefonem komukoli z internetu, i když je to zbytečný nesmysl. Tento nesmysl má i jméno a jmenuje se "Fullcone NAT".
Viz viewtopic.php?f=32&t=3390

Re: Neustálé zvonění telefonu - scanování sítě?

PříspěvekNapsal: sob 24. lis 2018 21:41:32
od petrmvd
Děkuji všem za nápady!

Fullcone NAT nemám, mám "Restricted NAT". Provedl jsem scan z venku (včetně UDP a portu 5060) a žádný port není otevřený.
Poté, co jsem ještě restartoval telefon (po reinstalaci routeru), zvonění ustalo. Tak uvidíme, pokud by se ještě problém opět objevil, budu zkoumat dál.

Re: Neustálé zvonění telefonu - scanování sítě?

PříspěvekNapsal: ned 25. lis 2018 16:44:13
od xsouku04
petrmvd píše:Děkuji všem za nápady!

Fullcone NAT nemám, mám "Restricted NAT". Provedl jsem scan z venku (včetně UDP a portu 5060) a žádný port není otevřený.
Poté, co jsem ještě restartoval telefon (po reinstalaci routeru), zvonění ustalo. Tak uvidíme, pokud by se ještě problém opět objevil, budu zkoumat dál.


To je zajímavé. Ještě bych připomněl, že UDP nemá žádné stavy jako otevřený a zavřený port. Tedy oskenovat se port dá jen tak, že se pošle rovnou nějaký SIP paket, na který telefon odpoví. Proto je možné, že útočník, aby mohl skenovat, posílá právě rovnou ten hovor, a tedy jako vedlejší produkt telefon zvoní.
Osobně jsem se s tím nesetkal, naši zákazníci to hlásí tak jednou za půl roku a zatím vždy zabralo změnit lokální port na telefonu z 5060 na jiné náhodné číslo. Když použijete na telefonu jiný port, třeba 47829, tak se přemapuje i na router a útočníci skenují hlavně 5060.

Buď je moje teorie o nebezpečném typu NATu chybná, nebo je to nějaký jiný bug v tom, jak funguje onen NAT o chová se nebezpečně jen někdy.

Napadá mne, že by útočník mohl podvrnout ip adresu odesilatele paketu (tedy třeba odoriku). Ale to mi nesedí, protože útočník jednak neví, jakou ip adresu, a také by mu to na nic nebylo, protože odpověď nikdy nedostane.
Také by útočník mohl adresovat neveřejnou ip adresu přímo, ale tam je pak s podivem, že to přes kus internetu projde. Nemělo by, ale na fóru root.cz jsem byl ubezpečen, že spoléhat se na to nelze. Opět je to ale špatné chování routeru, protože ten by měl adresování neveřejné ip adresu z venku dovnitř nepropustit. Je možné, že tohle router nazývá firewall a musí se to zapnout. Bohužel, co je ale přesně ona funkce firewall, nebývá moc dobře zdokumentováno.
A poslední možnost je, že by sken prováděl útočník přímo z lokální sítě. S tím jsem se také ale nikdy nesetkal.

On je tento problém zjevně důležitější, než to na první pohled vypadá, protože by pak mohl útočník dělat i jiné věci, než vám v noci vyzvánět.