forum.odorik.cz

> Opakovaně mně, zpravidla v ranních hodinách mezi 02.00 až 04.00 zvoní telefon. Na displeji se objeví číslo 101. Naposledy to bylo dnes cca v 03.45, 2x za sebou až jsem musel telefon odpojit od sítě. Moje tel.č. je 415XXX, geografické 211221XXX. Je to dost nepříjemné !!!
>
> K.H.

Ve výpise hovorů není nic vidět. Útočník tedy volá z internetu přímo na váš telefon. Adaptér/telefon má buď přímo veřejnou ip adresu a nebo se router nechová příliš bezpečně.
Řešení je nepoužívat standardní port 5060, který útočník očekává ale nastavit jej na nějaké náhodné vysoké číslo 5000-64000. Viz http://www.odorik.cz/w/grandstream_gxp2 ... dne_potize
Zrovna tak doporučuji nastavit web na nestandardní port (třeba 56781) a nastavit si bezpečné heslo.
Další informace proč nemít telefon/adaptér na veřejné adrese a co hrozí jsou zde http://forum.odorik.cz/viewtopic.php?f=7&t=480&p=2103

--
s pozdravem
Petr Soukup
Odorik.cz
miniTEL s.r.o

některé telefony také mají volbu nereagovat na IP volání, pokud je telefon přihlášen k proxy. tj. kdo přímé IP volání nepoužívá, stačí vypnout. noční hovory - skenování SIP portů jen tak neskončí.. a děje se to celkem běžně i za NATem, některé - hlavně ADSL - modemy to bez ohledu na předchozí provoz pustí dovnitř

alfi píše:některé - hlavně ADSL - modemy to bez ohledu na předchozí provoz pustí dovnitř

Je mozne prosim nejakym zpusobem upravit nastaveni u zrejme nejpouzivanejsiho ADSL modemu / routeru Huawei EchoLife HG520i, aby se tomuto problemu predeslo?

radoch píše: Je mozne prosim nejakym zpusobem upravit nastaveni u zrejme nejpouzivanejsiho ADSL modemu / routeru Huawei EchoLife HG520i, aby se tomuto problemu predeslo?

A vy máte zkušenost, že VoIP telefon za tímto zařízením bezdůvodně zvoní v noci ?

V každém případě je dobrý nápad použít na VoIP telefon/adaptéru nestandartní port na kterém naslouchá.
Standartně naslouchá totiž každé SIP zařízení na portu 5060 a některé routery pak tento port zpřístupní na jejich veřejné adrese každému. Tedy nevhodně přemapují vnitří port 5060 na venkovní port 5060 na který to mohou zkoušet útočníci.
Pokud ale na voip telefonu nastavíte, aby se používal nějaký jiný netradiční port např. 54726, celkem jistě nedojde k přemapování na port 5060 ale buď též na stejný a nebo ještě lépe nějaký náhodný port. To záleží na typu NATu. Pravděpodobnost, že útočník uhádne nějaký hodně netradiční port se blíží nule. Útočníci jdou hlavně po sip ústřednách, aby zkoušel volat na cizí účet. A ty téměř vždy číhají na portě 5060, proto je pro ně tento port velmi zajímavý.

Ano, mam cerstvou zkusenost s prozvanenim behem uplynuleho vikendu (2. - 4.11 2012). Pouzivam adapter Well ATA172 a tento router Huawei. V patek prozvanel telefon odpoledne, v sobotu kolem poledne a v noci ze soboty na nedeli v casnych rannich hodinach, coz uz bylo neprijemne.

Ve vypise hovoru na webu Odoriku se nic neobjevilo, jednalo se tedy o utok pres internet.

V nedeli vecer jsem port 5060 zmenil na jiny, zatim je od te doby klid. Pokud bych ale mohl i lepe zabezpecit router, byl bych samozrejme klidnejsi....

Půjčil jsem si modem Huawei EchoLife HG520i, nemám ale zde žádný telefonní kabel od O2. Mohu ale procházet webové stránky toho modemu. Defaultní jméno a heslo jsem uhádl napoprvé je to admin, admin. Ip adresa ADSL modemu v mém případě případě byla 10.0.0.138 - což se dá zjistit jako výchozí brána počítače.

Manuál je zde.
http://www.o2.cz/_pub/66/e0/21/114799_1 ... manual.pdf

strana 24.

Bohužel potřebné informace jsem tam nenašel. Hledal jsem především co Huawei rozumí pojmy NAT (jaký typ natu dělá a jak se chová) . A co přesně rozumí pojmem firewall. Nastavení jsem našel v menu Advanced -> firewall.
Firewall lze zapnout a vypnout. Přestože u modemu byl firewall zapnutý VoIP bez potíží fungovalo.
Možná onen pojem firewall jen znamená bezpečně chovající se NAT. Máte firewall zapnutý a funguje vám VoIP? Pokud vám bude fungovat VoIP i při zapnutém firewalu, nechte jej zapnutý.
Co si huawei představuje pod pojmem firewall: Dále je tam volba SPI, což sice také nevím přesně co je. Zde jsem ale našel definici co je SPI úplně jinou.
http://whirlpool.net.au/wiki/hw_feature_118

Tedy podle toho co jsem našel, by NAT neměl fungovat tak jak ve vašem případě. Vypadá, že váš NAT prostě pakety z neznámých adres nezahazuje a nesmyslně je routuje podle uložených pravidel. Není mi jasné komu by kromě útočníků mohlo tohle být užitečné. Možná nazývá jinak běžné chování, kdy dovolí jen přístup z ip adres s kterými se komunikuje pojmem firewall i když firewall to vlastně není. (ale marketingovému oddělení se to jistě líbí)
Podle této definice, je tohle přesně to co potřebujete a Huaway ve svém manuálu jen mlží.
V každém případě zkuste aktivovat firewall i tuhle položku, jestli vám stále ještě funguje VoIP, pokud ano, nechte to zapnuté. Dejte prosím vědět.

Diky za vase usili pane Soukup.

Polozky Firewall a SPI jsem aktivoval ihned po uvedeni routeru do provozu pred nekolika lety, mam je zapnute i nyni, kdy prechazim na VOIP a volani je funkcni. Neni mi tedy take jasne, jak presne obe polozky v tomto modemu funguji, kdyz prozvaneni pres ne proslo. Kazdopadne od zmeny portu v nedeli vecer se uz prozvaneni neobjevilo.

Zkousel jsem i zaslat PING na svou IP adresu - vsechny pakety jsou zahozene. Nejakym zpusobem tedy FW nebo SPI utokum zvenci u toho routeru brani, ne vsak zrejme uplne dostatecne....

radoch píše:Diky za vase usili pane Soukup.

Polozky Firewall a SPI jsem aktivoval ihned po uvedeni routeru do provozu pred nekolika lety, mam je zapnute i nyni, kdy prechazim na VOIP a volani je funkcni. Neni mi tedy take jasne, jak presne obe polozky v tomto modemu funguji, kdyz prozvaneni pres ne proslo. Kazdopadne od zmeny portu v nedeli vecer se uz prozvaneni neobjevilo.

Zkousel jsem i zaslat PING na svou IP adresu - vsechny pakety jsou zahozene. Nejakym zpusobem tedy FW nebo SPI utokum zvenci u toho routeru brani, ne vsak zrejme uplne dostatecne....

Nezbývá, než to považovat za vážnej bug. Není novější firmware ke stažení ?
Jen tak pro jistotu, v lokální síti v tu dobu záhadného zvonění nebyl žádný počítač puštěný a žádné porty jste sám nepřesměrovával ?
Asi by to chtělo najít nějaké testy, jak si otestovat typ a též děravost a hloupost vlastního NATu, protože jinak to může být opravdu nebezpečné, zvláště když se na to člověk spoléhá. Nevíte někdo o tom, jak takto testovat bugy takto nedokonalého nedokumentovaného NATu ?

SPI je stateful packet inspection, tedy zjednodušeně stavový firewall. Tahle ADSL krabička nastaví firewall tak, že inicializaci spojení z internetu do vnitřní sítě nepovolí. Inicializaci spojení z vnitřní sítě do internetu ho pak povolí a zapamatuje si informaci o takovém spojení (v Linuxu známé jako ESTABLISHED,RELATED pravidla v iptables).

Zahazování ICMP echo requestů z internetu na router (ping) v takovém případě odpovídá nastaveným firewall pravidlům. Možná bude firewall blokovat i příchozí UDP SIP/RTP.

zajdee píše:SPI je stateful packet inspection, tedy zjednodušeně stavový firewall. Tahle ADSL krabička nastaví firewall tak, že inicializaci spojení z internetu do vnitřní sítě nepovolí. Inicializaci spojení z vnitřní sítě do internetu ho pak povolí a zapamatuje si informaci o takovém spojení (v Linuxu známé jako ESTABLISHED,RELATED pravidla v iptables).

Zahazování ICMP echo requestů z internetu na router (ping) v takovém případě odpovídá nastaveným firewall pravidlům. Možná bude firewall blokovat i příchozí UDP SIP/RTP.

Problém ale je že tato krabička přepošle náhodnému útočníkovi pokusy zaslat něco na portu 5060 její veřejné adresy. Místo aby je zahodila, tak je přepošle na VoIP zařízení v lokální síti. A to dokonce přesto že má jak Firewall tak SPI aktivované.
I pro běžný nat totiž není důvod tohle dělat !!