Myslím, že to bude tak, že pokud chcete, aby si to jako port volilo náhodně, vyplníte v SIP Port nebo RTP PORT:0 a pak se uplatní to rozmezí. Jinak se rozmezí neuplatní. Pochopit se to z toho hintu 0->auto. Bohužel člověk co psal manuál to asi nechápal, takže zmínka kterou by si to zasloužilo o tom v textu není.radoch píše: Co se tyce nastavovani rozsahu portu, k tomu se bohuzel vyjadrit nemuzu. Muzu pouze zde vlozit odkaz na manual
http://www.joyce.cz/files/technicka-pod ... al-v17.pdf
kde se na str. 28 popisuje jejich nastaveni a zaroven je tam i screen. Snad alespon toto pomuze.....
Telefon zvoní bezdůvodně v noci
- xsouku04
- Administrátor
- Příspěvky: 8160
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Telefon zvoní bezdůvodně v noci
- xsouku04
- Administrátor
- Příspěvky: 8160
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Telefon zvoní bezdůvodně v noci
Vypadá to, že jde spíše o typ NATu.radoch píše:
Tak firmware routeru Huawei EchoLife HG520i jsem prehral nejnovejsi verzi stazenou ze stranek O2 (ze srpna 2012), zatim se nic negativniho neprojevilo.
Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
http://cs.wikipedia.org/wiki/STUN
http://en.wikipedia.org/wiki/Network_ad ... ranslation
Bezpečný typ NATu je port restricted cone NAT. Full-cone NAT je hazard a co se týče bezpečnosti jste na tom podobně jako na veřejné adrese, zvláště pokud se porty mapují na stejná čísla. Podle mého názoru takový NAT postrádá jednu ze svých hlavních funkcí a to zvýšené bezpečnosti pro útoky z venčí a proto se s ním tolik nesetkáváme.
Typ NATu se dá zjišťovat pomocí STUN, ještě k tomu zkusím něco dohledat. V podstatě STAN slouží k tomu, aby si mohla aplikace za NATem sama zjistit, za jakým typem natu je a pokud je to některý z méně bezpečných, může pak využít "výhody", které to obnáší. Protože se ale téměř výhradně používá nejpřísnější Port-restricted cone NAT, používat STUN pro VoIP postrádá smysl, protože tento nejpřísnější typ natu je použit téměř vždy.
Re: Telefon zvoní bezdůvodně v noci
xsouku04 píše:Myslím, že to bude tak, že pokud chcete, aby si to jako port volilo náhodně, vyplníte v SIP Port nebo RTP PORT:0 a pak se uplatní to rozmezí. Jinak se rozmezí neuplatní. Pochopit se to z toho hintu 0->auto. Bohužel člověk co psal manuál to asi nechápal, takže zmínka kterou by si to zasloužilo o tom v textu není.radoch píše: Co se tyce nastavovani rozsahu portu, k tomu se bohuzel vyjadrit nemuzu. Muzu pouze zde vlozit odkaz na manual
http://www.joyce.cz/files/technicka-pod ... al-v17.pdf
kde se na str. 28 popisuje jejich nastaveni a zaroven je tam i screen. Snad alespon toto pomuze.....
Ano. Tato brána umí jak rozpětí RTP portů, tak i rozpětí SIP portů, ALE POZOR! RTP porty mouhou být současně u obou telefonů nastaveny "0" (tudíž si to vybere v zadaném rozpětí), ale u SIP portů FW "nepustí" současné nastavení u obou telefonů "0" - jeden telefonní port musí mít vždy definován SIP port "na tvrdo".
- xsouku04
- Administrátor
- Příspěvky: 8160
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Telefon zvoní bezdůvodně v noci
Vyzkoušel jsem stun klienta zderadoch píše: Tak firmware routeru Huawei EchoLife HG520i jsem prehral nejnovejsi verzi stazenou ze stranek O2 (ze srpna 2012), zatim se nic negativniho neprojevilo.
Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
http://sourceforge.net/projects/stun/files/
Kód: Vybrat vše
[@arch-petr2 ~]$ stunc stunserver.org
STUN client version 0.96
Primary: Indepndent Mapping, Port Dependent Filter, preserves ports, no hairpin
Return value is 0x000017
Kód: Vybrat vše
Independent Mapping, Independent Filter = Fullcone NAT
Independent Mapping, Address Dependent Filter = Restricted Cone NAT
Independent Mapping, Port Dependent Filter = Port-Restricted Cone NAT
Dependent Mapping = Symmetric NAT
Preserves port, je funkce z které nejsem moc nadšený. Že pokud se moje zařízení registruje na vnitřní síti na portu 5060 a tento port je na veřejné ip adrese volný, bude přemapován na stejný port veřejné adresy.
Použitím portu 5060 na veřejné ip adrese prozrazujeme útočníkovi, že máme co do činění s VoIP.
Zbývá ještě rozluštit co je to hairpinming.
Podle definice zde: http://searchunifiedcommunications.tech ... airpinning
Kód: Vybrat vše
In general telecommunication, hairpinning is returning a message from an origin endpoint back in the direction it came from as a way to get it to its destination endpoint. There are several usages.
Kód: Vybrat vše
Hairpinning is the ability of the NAT to route packets coming from the private network addressed towards a public IP address binding back to the private network. Not all routers are supporting this feature.
Přemýšlíme, že uděláme nějaký java applet, který by byl chopen vypsat typ natu a jeho nebezpečnost a též testovat jaké jsou dostupné ip adresy v lokální síti. ...
Re: Telefon zvoní bezdůvodně v noci
Nejjednodušší asi bude, když na router pustíte zvenku Nmap a podíváte se, co všechno je otevřeno/přístupné.radoch píše:Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
Re: Telefon zvoní bezdůvodně v noci
Nasel by se nekdo, kdo by sem vlozil navod, jak to pomoci Nmapu otestovat? Zkousel jsem to zatim pomoci on-line skeneru http://nmap.online-domain-tools.com/ a take na techto stranach - http://test.bezpecnosti.cz/Largon píše:Nejjednodušší asi bude, když na router pustíte zvenku Nmap a podíváte se, co všechno je otevřeno/přístupné.radoch píše:Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
V obou pripadech router obstal na 100%.
- xsouku04
- Administrátor
- Příspěvky: 8160
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Telefon zvoní bezdůvodně v noci
Zkusil jsem nmapnout svoji domácí ip adresu příkazem:
a odpověď je
A to bych měl mít ten bezpečný typ NAT (testováno výše pomocí STUN)
Problém ale je, že UDP porty nejde snadno testovat. Pokud je UDP port zavřenej, dostane útočník zpravidla vyrozumění že je zavřenej. Pokud je otevřen ale jen od někud, tváří prostě se otevřeně. A nelze to zjisti jinak než poslat něco na co druhá strana odpoví, nebo nějak vyprovokovat ono vyzvánění telefonu.
Připravujeme java applet, který by měl pomoci s detekcí nebezpečí.
Kód: Vybrat vše
nmap -p 5060 -sU -P0 moje_ip
Kód: Vybrat vše
Starting Nmap 5.00 ( http://nmap.org ) at 2012-11-16 00:02 CET
Interesting ports on BLABLA:
PORT STATE SERVICE
5060/udp open|filtered sip
Nmap done: 1 IP address (1 host up) scanned in 2.18 seconds
Problém ale je, že UDP porty nejde snadno testovat. Pokud je UDP port zavřenej, dostane útočník zpravidla vyrozumění že je zavřenej. Pokud je otevřen ale jen od někud, tváří prostě se otevřeně. A nelze to zjisti jinak než poslat něco na co druhá strana odpoví, nebo nějak vyprovokovat ono vyzvánění telefonu.
Připravujeme java applet, který by měl pomoci s detekcí nebezpečí.
- xsouku04
- Administrátor
- Příspěvky: 8160
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Telefon zvoní bezdůvodně v noci
Zdá se, že tímto neduhem (tedy číháním na portu 5060 veřejné ip adresy trpí i FritzBox). Zatím jsem nepřišel na to, jak se dá tento nevhodný defaultní port změnit.
Měli jsme zde na pobočce několik hluchých příchozích hovorů, není ale potvrzeno, že by to bylo tímto. I když mohlo by. Je zde ještě možnost, že sice fritzbox číhá na 5060, ale anonymní hovory na uri nepřijímá.
Měli jsme zde na pobočce několik hluchých příchozích hovorů, není ale potvrzeno, že by to bylo tímto. I když mohlo by. Je zde ještě možnost, že sice fritzbox číhá na 5060, ale anonymní hovory na uri nepřijímá.
Re: Telefon zvoní bezdůvodně v noci
Občas jsem zažil nepřijaté hovory (ve volajícím sluchátku normálně vyzváněcí tón, ale volaná linka nezvonila), když pak pomohlo v Telephony devices nově zaregistrovat linku (mám např. linku "Linka" s připojeným analogovým zařízením connected na FON 1, otevřu si úpravu jejího nastavení a prosté nové uložení tlačítkem OK). Nepřišel jsem na to, kdy k tomu dojde, častěji se potíže objeví po přidávání nebo nějaké změně telefonních účtů. Pokud s účty manipuluji, vždy operaci ukončím ověřením a uložením linek, teď už se to tak nestává.xsouku04 píše:... FritzBox ... Měli jsme zde na pobočce několik hluchých příchozích hovorů, není ale potvrzeno, že by to bylo tímto.
Restart modemu by zřejmě splnil stejný účel.
Re: Telefon zvoní bezdůvodně v noci
ja na testovani portu pouzivam https://www.grc.com/x/ne.dll?bh0bkyd2 tam lze zvolit common porty i jednotlive, je tam i vysvetleni pro kazdy, treba https://www.grc.com/port_5060.htm
radoch píše:Nasel by se nekdo, kdo by sem vlozil navod, jak to pomoci Nmapu otestovat? Zkousel jsem to zatim pomoci on-line skeneru http://nmap.online-domain-tools.com/ a take na techto stranach - http://test.bezpecnosti.cz/Largon píše:Nejjednodušší asi bude, když na router pustíte zvenku Nmap a podíváte se, co všechno je otevřeno/přístupné.radoch píše:Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
V obou pripadech router obstal na 100%.