Telefon zvoní bezdůvodně v noci

tls,srtp,zrtp a bezpečnostní potíže VoIP
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od xsouku04 »

radoch píše: Co se tyce nastavovani rozsahu portu, k tomu se bohuzel vyjadrit nemuzu. Muzu pouze zde vlozit odkaz na manual
http://www.joyce.cz/files/technicka-pod ... al-v17.pdf
kde se na str. 28 popisuje jejich nastaveni a zaroven je tam i screen. Snad alespon toto pomuze.....
Myslím, že to bude tak, že pokud chcete, aby si to jako port volilo náhodně, vyplníte v SIP Port nebo RTP PORT:0 a pak se uplatní to rozmezí. Jinak se rozmezí neuplatní. Pochopit se to z toho hintu 0->auto. Bohužel člověk co psal manuál to asi nechápal, takže zmínka kterou by si to zasloužilo o tom v textu není.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od xsouku04 »

radoch píše:
Tak firmware routeru Huawei EchoLife HG520i jsem prehral nejnovejsi verzi stazenou ze stranek O2 (ze srpna 2012), zatim se nic negativniho neprojevilo.

Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
Vypadá to, že jde spíše o typ NATu.
http://cs.wikipedia.org/wiki/STUN
http://en.wikipedia.org/wiki/Network_ad ... ranslation
Bezpečný typ NATu je port restricted cone NAT. Full-cone NAT je hazard a co se týče bezpečnosti jste na tom podobně jako na veřejné adrese, zvláště pokud se porty mapují na stejná čísla. Podle mého názoru takový NAT postrádá jednu ze svých hlavních funkcí a to zvýšené bezpečnosti pro útoky z venčí a proto se s ním tolik nesetkáváme.
Typ NATu se dá zjišťovat pomocí STUN, ještě k tomu zkusím něco dohledat. V podstatě STAN slouží k tomu, aby si mohla aplikace za NATem sama zjistit, za jakým typem natu je a pokud je to některý z méně bezpečných, může pak využít "výhody", které to obnáší. Protože se ale téměř výhradně používá nejpřísnější Port-restricted cone NAT, používat STUN pro VoIP postrádá smysl, protože tento nejpřísnější typ natu je použit téměř vždy.
Kabek

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od Kabek »

xsouku04 píše:
radoch píše: Co se tyce nastavovani rozsahu portu, k tomu se bohuzel vyjadrit nemuzu. Muzu pouze zde vlozit odkaz na manual
http://www.joyce.cz/files/technicka-pod ... al-v17.pdf
kde se na str. 28 popisuje jejich nastaveni a zaroven je tam i screen. Snad alespon toto pomuze.....
Myslím, že to bude tak, že pokud chcete, aby si to jako port volilo náhodně, vyplníte v SIP Port nebo RTP PORT:0 a pak se uplatní to rozmezí. Jinak se rozmezí neuplatní. Pochopit se to z toho hintu 0->auto. Bohužel člověk co psal manuál to asi nechápal, takže zmínka kterou by si to zasloužilo o tom v textu není.

Ano. Tato brána umí jak rozpětí RTP portů, tak i rozpětí SIP portů, ALE POZOR! RTP porty mouhou být současně u obou telefonů nastaveny "0" (tudíž si to vybere v zadaném rozpětí), ale u SIP portů FW "nepustí" současné nastavení u obou telefonů "0" - jeden telefonní port musí mít vždy definován SIP port "na tvrdo".
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od xsouku04 »

radoch píše: Tak firmware routeru Huawei EchoLife HG520i jsem prehral nejnovejsi verzi stazenou ze stranek O2 (ze srpna 2012), zatim se nic negativniho neprojevilo.

Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
Vyzkoušel jsem stun klienta zde
http://sourceforge.net/projects/stun/files/

Kód: Vybrat vše

[@arch-petr2 ~]$ stunc stunserver.org
STUN client version 0.96
Primary: Indepndent Mapping, Port Dependent Filter, preserves ports, no hairpin	
Return value is 0x000017
Podle zdroje zde se výsledky dají interpretovat takto.

Kód: Vybrat vše

Independent Mapping, Independent Filter = Fullcone NAT
Independent Mapping, Address Dependent Filter = Restricted Cone NAT
Independent Mapping, Port Dependent Filter = Port-Restricted Cone NAT
Dependent Mapping = Symmetric NAT
V mém případě mám tedy nejběžněší a bezpečný "Port Restricet Cone NAT" http://cs.wikipedia.org/wiki/STUN

Preserves port, je funkce z které nejsem moc nadšený. Že pokud se moje zařízení registruje na vnitřní síti na portu 5060 a tento port je na veřejné ip adrese volný, bude přemapován na stejný port veřejné adresy.
Použitím portu 5060 na veřejné ip adrese prozrazujeme útočníkovi, že máme co do činění s VoIP.

Zbývá ještě rozluštit co je to hairpinming.
Podle definice zde: http://searchunifiedcommunications.tech ... airpinning

Kód: Vybrat vše

In general telecommunication, hairpinning is returning a message from an origin endpoint back in the direction it came from as a way to get it to its destination endpoint. There are several usages.

Kód: Vybrat vše

Hairpinning is the ability of the NAT to route packets coming from the private network addressed towards a public IP address binding back to the private network. Not all routers are supporting this feature.
Můj router to nepodporuje a přesto funguje dobře. K čemu je to tedy dobré? Možná se tou veřejnou ip adresou myslí jen veřejná ip adresa našeho NATu. Usuzuji to z tohoto článku, ale možná se pletu. http://wiki.mikrotik.com/wiki/Hairpin_NAT Nemohu tak zevnitř sítě zkoušet, které porty jsou navenek otevřené ... ??? Nepotřebuji, mohu to zkoušet z venku.

Přemýšlíme, že uděláme nějaký java applet, který by byl chopen vypsat typ natu a jeho nebezpečnost a též testovat jaké jsou dostupné ip adresy v lokální síti. ...
Uživatelský avatar
Largon
Příspěvky: 448
Registrován: pon 07. lis 2011 10:14:09

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od Largon »

radoch píše:Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
Nejjednodušší asi bude, když na router pustíte zvenku Nmap a podíváte se, co všechno je otevřeno/přístupné.
radoch
Příspěvky: 32
Registrován: úte 02. říj 2012 15:35:33

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od radoch »

Largon píše:
radoch píše:Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
Nejjednodušší asi bude, když na router pustíte zvenku Nmap a podíváte se, co všechno je otevřeno/přístupné.
Nasel by se nekdo, kdo by sem vlozil navod, jak to pomoci Nmapu otestovat? Zkousel jsem to zatim pomoci on-line skeneru http://nmap.online-domain-tools.com/ a take na techto stranach - http://test.bezpecnosti.cz/

V obou pripadech router obstal na 100%.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od xsouku04 »

Zkusil jsem nmapnout svoji domácí ip adresu příkazem:

Kód: Vybrat vše

nmap -p 5060 -sU -P0 moje_ip
a odpověď je

Kód: Vybrat vše

Starting Nmap 5.00 ( http://nmap.org ) at 2012-11-16 00:02 CET
Interesting ports on BLABLA:
PORT     STATE         SERVICE
5060/udp open|filtered sip

Nmap done: 1 IP address (1 host up) scanned in 2.18 seconds
A to bych měl mít ten bezpečný typ NAT (testováno výše pomocí STUN)

Problém ale je, že UDP porty nejde snadno testovat. Pokud je UDP port zavřenej, dostane útočník zpravidla vyrozumění že je zavřenej. Pokud je otevřen ale jen od někud, tváří prostě se otevřeně. A nelze to zjisti jinak než poslat něco na co druhá strana odpoví, nebo nějak vyprovokovat ono vyzvánění telefonu.

Připravujeme java applet, který by měl pomoci s detekcí nebezpečí.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od xsouku04 »

Zdá se, že tímto neduhem (tedy číháním na portu 5060 veřejné ip adresy trpí i FritzBox). Zatím jsem nepřišel na to, jak se dá tento nevhodný defaultní port změnit.
Měli jsme zde na pobočce několik hluchých příchozích hovorů, není ale potvrzeno, že by to bylo tímto. I když mohlo by. Je zde ještě možnost, že sice fritzbox číhá na 5060, ale anonymní hovory na uri nepřijímá.
Hooonza
Příspěvky: 256
Registrován: úte 03. led 2012 18:09:05

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od Hooonza »

xsouku04 píše:... FritzBox ... Měli jsme zde na pobočce několik hluchých příchozích hovorů, není ale potvrzeno, že by to bylo tímto.
Občas jsem zažil nepřijaté hovory (ve volajícím sluchátku normálně vyzváněcí tón, ale volaná linka nezvonila), když pak pomohlo v Telephony devices nově zaregistrovat linku (mám např. linku "Linka" s připojeným analogovým zařízením connected na FON 1, otevřu si úpravu jejího nastavení a prosté nové uložení tlačítkem OK). Nepřišel jsem na to, kdy k tomu dojde, častěji se potíže objeví po přidávání nebo nějaké změně telefonních účtů. Pokud s účty manipuluji, vždy operaci ukončím ověřením a uložením linek, teď už se to tak nestává.
Restart modemu by zřejmě splnil stejný účel.
xsys
Příspěvky: 54
Registrován: stř 06. bře 2013 15:24:54
Bydliště: Brno

Re: Telefon zvoní bezdůvodně v noci

Příspěvek od xsys »

ja na testovani portu pouzivam https://www.grc.com/x/ne.dll?bh0bkyd2 tam lze zvolit common porty i jednotlive, je tam i vysvetleni pro kazdy, treba https://www.grc.com/port_5060.htm
radoch píše:
Largon píše:
radoch píše:Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
Nejjednodušší asi bude, když na router pustíte zvenku Nmap a podíváte se, co všechno je otevřeno/přístupné.
Nasel by se nekdo, kdo by sem vlozil navod, jak to pomoci Nmapu otestovat? Zkousel jsem to zatim pomoci on-line skeneru http://nmap.online-domain-tools.com/ a take na techto stranach - http://test.bezpecnosti.cz/

V obou pripadech router obstal na 100%.
Odpovědět