VoIP telefon/adaptér na veřejné adrese = velké nebezpečí.

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Z nezaheslovaného Grandstream HT702 na veřejné ip adrese (nebo s nevhodným forwardováním portů) je též možné získat sip jména a hesla. Zdroj http://forum.odorik.cz/viewtopic.php?f=7&p=12777
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

A víte, co udělá podvodník, když neumí z nezaheslovaného a z internetu přístupného zařízení získat SIP heslo?
V našem případě zjevně ze zařízení Cisco/SPA122-1.2.1(004).
Obrázek

Nastaví přesměrování.

Konkrétně v našem případě si v menu Voice/User1/Cfwd All Dest: nastavil přesměrování na 0048123502712.
(možná je tedy útočník v našem případě Polák)
Proč? Aby vyzkoušel, že to funguje. Na Odoriku, ale tento druh přesměrování funguje jen v rámci sítě.
Takže nepochodil. Šetřili jsme to jako závadu, proč nejdou příchozí hovory.

Obecně, kdyby to fungovalo by nastavil přesměrování na hodně drahé číslo a pak začal dělat spoustu příchozích hovorů tak dlouho, až by provolal veškerý kredit.

Tedy obecně lze říci, že jakékoli nezaheslované VoIP zařízení přístupné z internetu může být nebezpečné.
Petr-II
Příspěvky: 65
Registrován: ned 30. pro 2012 12:23:24

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Petr-II »

Tímto děkuji panu Soukupovi, či jeho kolegům, za včasné zjištění napadeni telefonu Well. Telefon byl sice za routrem ale protože byl mimo můj dosah, tak ještě z dob, kdy jel přes 802.cz, jsem tam měl mapping. Opět ukázka perfektní práce a věnování se zákazníkovi. Děkuji!
Hooonza
Příspěvky: 256
Registrován: úte 03. led 2012 18:09:05

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Hooonza »

Na jednom telefonu Well SIP-T20 (zřejmě na veřejné adrese), který funguje jako router domácí sítě, zaznamenáváme v poslední době několikrát denně hovory od "sipvicious" a objeví se číslo 100 nebo 400. Hovor nepřichází přes operátora, ale jde přímo přes IP adresu. Když hledám na internetu, zřejmě jde o skener portů. Kredity na účtech zatím provolané nejsou, pro jistotu telefon odpojuji, schovám jej za nějaký firewall. Těžko říct, jestli hrozí nějaké akutní nebezpečí, ale viděl jsem zde ve fóru, že tento telefon už byl cracknut, takže by to asi přišlo dříve nebo později odjinud.

http://advantia.ca/weblog/less-than-fri ... sipvicious
http://forums.whirlpool.net.au/archive/1968852
https://www.google.cz/search?q=100+sipvicious
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Hooonza píše:Na jednom telefonu Well SIP-T20 (zřejmě na veřejné adrese), který funguje jako router domácí sítě, zaznamenáváme v poslední době několikrát denně hovory od "sipvicious" a objeví se číslo 100 nebo 400. Hovor nepřichází přes operátora, ale jde přímo přes IP adresu. Když hledám na internetu, zřejmě jde o skener portů. Kredity na účtech zatím provolané nejsou, pro jistotu telefon odpojuji, schovám jej za nějaký firewall. Těžko říct, jestli hrozí nějaké akutní nebezpečí, ale viděl jsem zde ve fóru, že tento telefon už byl cracknut, takže by to asi přišlo dříve nebo později odjinud.

http://advantia.ca/weblog/less-than-fri ... sipvicious
http://forums.whirlpool.net.au/archive/1968852
https://www.google.cz/search?q=100+sipvicious
Pokud není otevřené webové rozhraní směrem do internetu, nic by hrozit nemělo.
Doporučuji preventivně změnit SIP port používaný telefonem. Defaultní port bývá 5060, ten ale často skenují útočníci.
Proto je dobré jej změnit na nějaké náhodně vysoké číslo, které útočníci jednoduše neskenují.
Třeba 54213.
Položka, kde se tento port zadává, se jmenuje Účet->Pokročilý->Lokální SIP port (Local SIP Port).
Bohužel nevím, o kterou se jedná linka, takže nemůžu zjistit, jestli má Váš telefon veřejnou nebo neveřejnou adresu.

Je ale možné, že nemá veřejnou adresu, jen je před ním nebezpečný typ NATu, který telefonu přeposílá vše, co přijde na port 5060. Změna na nestandardní port tento problém řeší i v tomto případě.

Obrázek

A je pokoj.
Hooonza
Příspěvky: 256
Registrován: úte 03. led 2012 18:09:05

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Hooonza »

Dobrý den,
děkuji za odpověď, přenastavíme port. Webové rozhraní asi uzavřít jen směrem do WAN portu nejde?
Bylo by mi divné, kdyby poskytovatel internetu (http://inext.cz/) nechal na tento konrétní telefon v síti přeposílat vše, co přijde na port 5060 - počítá s tím, že v jeho síti je jediný IP telefon, na který všichni můžou volat? Že je telefon na veřejné IP usuzuji z toho, že se mu dá dovolat na 100@jeho_IP.
Toto přímé volání funguje i po přenastavení portů podle Vašeho návodu a program sipvicious právě pro oběžující volání využívá tento přístup, obávám se, že tedy předchozím nastavením spamovému volání nezabráníme? Aspoň identifikaci jeho hovoru (100 a 400) dávám na blacklist. Otestujeme, uvidíme :)

Díky, Honza
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Hooonza píše:Dobrý den,
děkuji za odpověď, přenastavíme port. Webové rozhraní asi uzavřít jen směrem do WAN portu nejde?
Bylo by mi divné, kdyby poskytovatel internetu (http://inext.cz/) nechal na tento konrétní telefon v síti přeposílat vše, co přijde na port 5060 - počítá s tím, že v jeho síti je jediný IP telefon, na který všichni můžou volat? Že je telefon na veřejné IP usuzuji z toho, že se mu dá dovolat na 100@jeho_IP.
Toto přímé volání funguje i po přenastavení portů podle Vašeho návodu a program sipvicious právě pro oběžující volání využívá tento přístup, obávám se, že tedy předchozím nastavením spamovému volání nezabráníme? Aspoň identifikaci jeho hovoru (100 a 400) dávám na blacklist. Otestujeme, uvidíme :)

Díky, Honza
Tak jsem to prozkoumal, bylo to trošku zapeklité. Výsledek je zde.
U telefonů Well výrobce Yealing je ta zvláštnost, že naslouchají na portu 5060 i v případě, že políčko Lokální SIP port je nastaven na úplně jinou hodnotu a to u obou linek. Podle příspěvku zde http://forum.yealink.com:81/forum/showt ... p?tid=1012 jsem zakázal direct_ip_call a zdá se je po problému.

Obrázek

Druhá zvláštnost těchto telefonů je ta, že se mi nepodařilo najít, jak zakázat přístup na webové stránky směrem z WAN. Nicméně změnit číslo portu a nastavit bezpečné jméno a heslo by snad mělo stačit.

Obrázek

Aktualizoval jsem návod k tomuto telefonu.
http://www.odorik.cz/w/well_t20

Pravda v režimu router snad používá telefon naprostá menšina uživatelů.
Hooonza
Příspěvky: 256
Registrován: úte 03. led 2012 18:09:05

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Hooonza »

Dobrý den,
díky za velkou pomoc!
Ano, toto bylo jediné řešení, které mě napadlo, vypnout přímé volání na IP. Zatím jsem to zkoušel ponechat jen po přepnutí portů dle Vaší rady, zdálo se mi to být škoda. Telefon by měl mít speciální nastavení ještě pro "účet 0", což je přímé IP volání na telefon, ale nemá ho, teď se na přímém volání tedy nastavení z ostatních účtů neprojeví.
Bohužel, krásný port 48112 pro https na obrázku byl mnou už přenastavený nápad (standartně továrně je samozřejmě 443), přepl jste mi jej a já se do telefonu nedostanu :) Napište mi prosím do PM , kde telefon teď najdu , díky :)
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Hooonza píše:Dobrý den,
díky za velkou pomoc!
Ano, toto bylo jediné řešení, které mě napadlo, vypnout přímé volání na IP. Zatím jsem to zkoušel ponechat jen po přepnutí portů dle Vaší rady, zdálo se mi to být škoda. Telefon by měl mít speciální nastavení ještě pro "účet 0", což je přímé IP volání na telefon, ale nemá ho, teď se na přímém volání tedy nastavení z ostatních účtů neprojeví.
Bohužel, krásný port 48112 pro https na obrázku byl mnou už přenastavený nápad (standartně továrně je samozřejmě 443), přepl jste mi jej a já se do telefonu nedostanu :) Napište mi prosím do PM , kde telefon teď najdu , díky :)
Port 48112 jsem ale neměnil. Nevím o tom. Nezapomněl jste psát před ip adresou https?

To přímé volání na IP ale využijete, jen pokud máte v lokální síti více SIP telefonů a chcete volat, i když nejde internet.
Tedy běžně se to vůbec nevyužije a s Odorikem můžete volat na SIP URI i přes odorik, když si to přidáte do rychlých kontaktů. Navíc nikde není napsáno, jestli ona volba je pro příchozí, odchozí nebo oboje hovory.
tazatelx
Příspěvky: 31
Registrován: pát 19. dub 2013 19:03:54

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od tazatelx »

Dobrý den,

v jiném vlákně zrovna diskutuji na téma ohledně volání VoIP přes chytrý telefon. Samozřejmě je k tomu třeba aplikace, kterou někdo vytvoří. Na Windows Phone 8 OS toho moc není. Ale stav se lepší. Přesto - když si následně čtu toto vaše vlákno ohledně bezpečnosti a zjišťuji, že jedna z doporučovaných aplikací byla - zřejmě - vytvořena společností, která sídlí v Indii a věnuje se i např. volání do Pákistánu atp. není mi z toho příliš dobře.

Lze tedy nějak obecně aktuálně shrnout veškeré možné kroky pro navýšení bezpečnosti při volání z pevné stanice, ale také přes software v chytrém telefonu? Já třeba vůbec nevolám do ciziny a na placené linky. Proto bych přijal (pokud již je tato možnost, prosím informujte mě) možnost tato volání blokovat. Ano - klidně bych si dle slov zde užitých „blokoval celý svět“ mimo ČR, samozřejmě včetně placených linek.

Z druhé strany ... jestliže navolím do aplikace v mobilním telefonu SIP server/přihlašovací jméno - tedy šestimístné číslo Odoriku/heslo, dávám teoretickému potencionálnímu sběrateli těchto informací vše potřebné do ruky. Je to tak? Mohu i v tomto případě, tedy ve chvíli využití aplikace třetí strany a volání přes MT, navýšit bezpečnost, aby nemohlo dojít ke zneužití mého telefonického účtu, popř. jeho vytunelování? Já vím, že každý řekne - dobijte si jen pár korun. OK, dobiji si jen pár korun, ale i přesto ...

Dále bych se rád informoval, zda je již nyní možné nějak bez obtěžování zástupce Odoriku, vypnout přihlašování na účet pomocí PINu a zvolit heslo. Nebo je stále nutno kontaktovat uživatele xsouku04?

Předem díky za srozumitelné reakce.
Odpovědět