Neustálé zvonění telefonu - scanování sítě?

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
petrmvd
Příspěvky: 8
Registrován: čtv 18. črc 2013 14:24:26

Neustálé zvonění telefonu - scanování sítě?

Příspěvek od petrmvd »

Kolegové,

už přibližně 3 dny nám zvoní VoIP telefon, číslo volajícího je obvykle nějaké nesmyslné číslo, jako 217, 3100 3100, 1000 1000 atd. Ze začátku příležitostně, dnes v podstatě neustále.

Ve výpisech volání Odorik se nic takového neukazuje. Vypadá to, jako by někdo scanoval síť, ovšem nepodařilo se mi přijít na to, odkud by mohl problém pocházet.

Telefon je za domácím routerem, za NATem, nepřístupný z veřejné internetové sítě. Žádné přesměrování portů není nastaveno. UPnP je vypnuto. Postupně jsem povypínal všechny počítače v lokální síti, abych vyloučil možnost napadení některého z nich, který by scanoval vnitřní síť. Nic se neprokázalo. Jediné, co problém přeruší, je odpojení routeru od internetu nebo jeho vypnutí. Router jsem vymazal na tovární nastavení, změnil nastavení přístupu a nakonfiguroval komplet znovu. Jakmile byl připojen k internetu, problém se okamžitě objevil znovu. :x

Bylo by možné zkontrolovat, že tento nepatřičný provoz nepochází ze sítě Odoriku, zda není nějaké napadení tam? Popřípadě jaké další kroky lze podniknout k eliminaci nebo vypátrání zdroje problému?

Děkuji!
jadu
Příspěvky: 164
Registrován: pon 09. úno 2015 13:35:30

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvek od jadu »

Dobrý den, zkuste odhlásit telefon od poskytovatele/ů a pokud bude zvonit dál, pak hovory nejdou přes operátora/y.
Uživatelský avatar
Pitomec
Příspěvky: 2643
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvek od Pitomec »

Telefon je defaultně nastavený na port 5060, který routerem samozřejmě proleze a někdo zvenčí tak zkouší dostupnost. Takže ho nastavit na port jiný, viz třetí odpověď odspodu: http://www.odorik.cz/w/casto-pokladane-dotazy
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8287
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvek od xsouku04 »

Ten NAT, co máte, je nebezpečný typ a dovolí komunikovat s vaším telefonem komukoli z internetu, i když je to zbytečný nesmysl. Tento nesmysl má i jméno a jmenuje se "Fullcone NAT".
Viz http://forum.odorik.cz/viewtopic.php?f=32&t=3390
petrmvd
Příspěvky: 8
Registrován: čtv 18. črc 2013 14:24:26

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvek od petrmvd »

Děkuji všem za nápady!

Fullcone NAT nemám, mám "Restricted NAT". Provedl jsem scan z venku (včetně UDP a portu 5060) a žádný port není otevřený.
Poté, co jsem ještě restartoval telefon (po reinstalaci routeru), zvonění ustalo. Tak uvidíme, pokud by se ještě problém opět objevil, budu zkoumat dál.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8287
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Neustálé zvonění telefonu - scanování sítě?

Příspěvek od xsouku04 »

petrmvd píše:Děkuji všem za nápady!

Fullcone NAT nemám, mám "Restricted NAT". Provedl jsem scan z venku (včetně UDP a portu 5060) a žádný port není otevřený.
Poté, co jsem ještě restartoval telefon (po reinstalaci routeru), zvonění ustalo. Tak uvidíme, pokud by se ještě problém opět objevil, budu zkoumat dál.
To je zajímavé. Ještě bych připomněl, že UDP nemá žádné stavy jako otevřený a zavřený port. Tedy oskenovat se port dá jen tak, že se pošle rovnou nějaký SIP paket, na který telefon odpoví. Proto je možné, že útočník, aby mohl skenovat, posílá právě rovnou ten hovor, a tedy jako vedlejší produkt telefon zvoní.
Osobně jsem se s tím nesetkal, naši zákazníci to hlásí tak jednou za půl roku a zatím vždy zabralo změnit lokální port na telefonu z 5060 na jiné náhodné číslo. Když použijete na telefonu jiný port, třeba 47829, tak se přemapuje i na router a útočníci skenují hlavně 5060.

Buď je moje teorie o nebezpečném typu NATu chybná, nebo je to nějaký jiný bug v tom, jak funguje onen NAT o chová se nebezpečně jen někdy.

Napadá mne, že by útočník mohl podvrnout ip adresu odesilatele paketu (tedy třeba odoriku). Ale to mi nesedí, protože útočník jednak neví, jakou ip adresu, a také by mu to na nic nebylo, protože odpověď nikdy nedostane.
Také by útočník mohl adresovat neveřejnou ip adresu přímo, ale tam je pak s podivem, že to přes kus internetu projde. Nemělo by, ale na fóru root.cz jsem byl ubezpečen, že spoléhat se na to nelze. Opět je to ale špatné chování routeru, protože ten by měl adresování neveřejné ip adresu z venku dovnitř nepropustit. Je možné, že tohle router nazývá firewall a musí se to zapnout. Bohužel, co je ale přesně ona funkce firewall, nebývá moc dobře zdokumentováno.
A poslední možnost je, že by sken prováděl útočník přímo z lokální sítě. S tím jsem se také ale nikdy nesetkal.

On je tento problém zjevně důležitější, než to na první pohled vypadá, protože by pak mohl útočník dělat i jiné věci, než vám v noci vyzvánět.
Odpovědět