VoIP telefon/adaptér na veřejné adrese = velké nebezpečí.
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
Z nezaheslovaného Grandstream HT702 na veřejné ip adrese (nebo s nevhodným forwardováním portů) je též možné získat sip jména a hesla. Zdroj http://forum.odorik.cz/viewtopic.php?f=7&p=12777
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
A víte, co udělá podvodník, když neumí z nezaheslovaného a z internetu přístupného zařízení získat SIP heslo?
V našem případě zjevně ze zařízení Cisco/SPA122-1.2.1(004).
Nastaví přesměrování.
Konkrétně v našem případě si v menu Voice/User1/Cfwd All Dest: nastavil přesměrování na 0048123502712.
(možná je tedy útočník v našem případě Polák)
Proč? Aby vyzkoušel, že to funguje. Na Odoriku, ale tento druh přesměrování funguje jen v rámci sítě.
Takže nepochodil. Šetřili jsme to jako závadu, proč nejdou příchozí hovory.
Obecně, kdyby to fungovalo by nastavil přesměrování na hodně drahé číslo a pak začal dělat spoustu příchozích hovorů tak dlouho, až by provolal veškerý kredit.
Tedy obecně lze říci, že jakékoli nezaheslované VoIP zařízení přístupné z internetu může být nebezpečné.
V našem případě zjevně ze zařízení Cisco/SPA122-1.2.1(004).
Nastaví přesměrování.
Konkrétně v našem případě si v menu Voice/User1/Cfwd All Dest: nastavil přesměrování na 0048123502712.
(možná je tedy útočník v našem případě Polák)
Proč? Aby vyzkoušel, že to funguje. Na Odoriku, ale tento druh přesměrování funguje jen v rámci sítě.
Takže nepochodil. Šetřili jsme to jako závadu, proč nejdou příchozí hovory.
Obecně, kdyby to fungovalo by nastavil přesměrování na hodně drahé číslo a pak začal dělat spoustu příchozích hovorů tak dlouho, až by provolal veškerý kredit.
Tedy obecně lze říci, že jakékoli nezaheslované VoIP zařízení přístupné z internetu může být nebezpečné.
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
Tímto děkuji panu Soukupovi, či jeho kolegům, za včasné zjištění napadeni telefonu Well. Telefon byl sice za routrem ale protože byl mimo můj dosah, tak ještě z dob, kdy jel přes 802.cz, jsem tam měl mapping. Opět ukázka perfektní práce a věnování se zákazníkovi. Děkuji!
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
Na jednom telefonu Well SIP-T20 (zřejmě na veřejné adrese), který funguje jako router domácí sítě, zaznamenáváme v poslední době několikrát denně hovory od "sipvicious" a objeví se číslo 100 nebo 400. Hovor nepřichází přes operátora, ale jde přímo přes IP adresu. Když hledám na internetu, zřejmě jde o skener portů. Kredity na účtech zatím provolané nejsou, pro jistotu telefon odpojuji, schovám jej za nějaký firewall. Těžko říct, jestli hrozí nějaké akutní nebezpečí, ale viděl jsem zde ve fóru, že tento telefon už byl cracknut, takže by to asi přišlo dříve nebo později odjinud.
http://advantia.ca/weblog/less-than-fri ... sipvicious
http://forums.whirlpool.net.au/archive/1968852
https://www.google.cz/search?q=100+sipvicious
http://advantia.ca/weblog/less-than-fri ... sipvicious
http://forums.whirlpool.net.au/archive/1968852
https://www.google.cz/search?q=100+sipvicious
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
Pokud není otevřené webové rozhraní směrem do internetu, nic by hrozit nemělo.Hooonza píše:Na jednom telefonu Well SIP-T20 (zřejmě na veřejné adrese), který funguje jako router domácí sítě, zaznamenáváme v poslední době několikrát denně hovory od "sipvicious" a objeví se číslo 100 nebo 400. Hovor nepřichází přes operátora, ale jde přímo přes IP adresu. Když hledám na internetu, zřejmě jde o skener portů. Kredity na účtech zatím provolané nejsou, pro jistotu telefon odpojuji, schovám jej za nějaký firewall. Těžko říct, jestli hrozí nějaké akutní nebezpečí, ale viděl jsem zde ve fóru, že tento telefon už byl cracknut, takže by to asi přišlo dříve nebo později odjinud.
http://advantia.ca/weblog/less-than-fri ... sipvicious
http://forums.whirlpool.net.au/archive/1968852
https://www.google.cz/search?q=100+sipvicious
Doporučuji preventivně změnit SIP port používaný telefonem. Defaultní port bývá 5060, ten ale často skenují útočníci.
Proto je dobré jej změnit na nějaké náhodně vysoké číslo, které útočníci jednoduše neskenují.
Třeba 54213.
Položka, kde se tento port zadává, se jmenuje Účet->Pokročilý->Lokální SIP port (Local SIP Port).
Bohužel nevím, o kterou se jedná linka, takže nemůžu zjistit, jestli má Váš telefon veřejnou nebo neveřejnou adresu.
Je ale možné, že nemá veřejnou adresu, jen je před ním nebezpečný typ NATu, který telefonu přeposílá vše, co přijde na port 5060. Změna na nestandardní port tento problém řeší i v tomto případě.
A je pokoj.
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
Dobrý den,
děkuji za odpověď, přenastavíme port. Webové rozhraní asi uzavřít jen směrem do WAN portu nejde?
Bylo by mi divné, kdyby poskytovatel internetu (http://inext.cz/) nechal na tento konrétní telefon v síti přeposílat vše, co přijde na port 5060 - počítá s tím, že v jeho síti je jediný IP telefon, na který všichni můžou volat? Že je telefon na veřejné IP usuzuji z toho, že se mu dá dovolat na 100@jeho_IP.
Toto přímé volání funguje i po přenastavení portů podle Vašeho návodu a program sipvicious právě pro oběžující volání využívá tento přístup, obávám se, že tedy předchozím nastavením spamovému volání nezabráníme? Aspoň identifikaci jeho hovoru (100 a 400) dávám na blacklist. Otestujeme, uvidíme
Díky, Honza
děkuji za odpověď, přenastavíme port. Webové rozhraní asi uzavřít jen směrem do WAN portu nejde?
Bylo by mi divné, kdyby poskytovatel internetu (http://inext.cz/) nechal na tento konrétní telefon v síti přeposílat vše, co přijde na port 5060 - počítá s tím, že v jeho síti je jediný IP telefon, na který všichni můžou volat? Že je telefon na veřejné IP usuzuji z toho, že se mu dá dovolat na 100@jeho_IP.
Toto přímé volání funguje i po přenastavení portů podle Vašeho návodu a program sipvicious právě pro oběžující volání využívá tento přístup, obávám se, že tedy předchozím nastavením spamovému volání nezabráníme? Aspoň identifikaci jeho hovoru (100 a 400) dávám na blacklist. Otestujeme, uvidíme
Díky, Honza
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
Tak jsem to prozkoumal, bylo to trošku zapeklité. Výsledek je zde.Hooonza píše:Dobrý den,
děkuji za odpověď, přenastavíme port. Webové rozhraní asi uzavřít jen směrem do WAN portu nejde?
Bylo by mi divné, kdyby poskytovatel internetu (http://inext.cz/) nechal na tento konrétní telefon v síti přeposílat vše, co přijde na port 5060 - počítá s tím, že v jeho síti je jediný IP telefon, na který všichni můžou volat? Že je telefon na veřejné IP usuzuji z toho, že se mu dá dovolat na 100@jeho_IP.
Toto přímé volání funguje i po přenastavení portů podle Vašeho návodu a program sipvicious právě pro oběžující volání využívá tento přístup, obávám se, že tedy předchozím nastavením spamovému volání nezabráníme? Aspoň identifikaci jeho hovoru (100 a 400) dávám na blacklist. Otestujeme, uvidíme
Díky, Honza
U telefonů Well výrobce Yealing je ta zvláštnost, že naslouchají na portu 5060 i v případě, že políčko Lokální SIP port je nastaven na úplně jinou hodnotu a to u obou linek. Podle příspěvku zde http://forum.yealink.com:81/forum/showt ... p?tid=1012 jsem zakázal direct_ip_call a zdá se je po problému.
Druhá zvláštnost těchto telefonů je ta, že se mi nepodařilo najít, jak zakázat přístup na webové stránky směrem z WAN. Nicméně změnit číslo portu a nastavit bezpečné jméno a heslo by snad mělo stačit.
Aktualizoval jsem návod k tomuto telefonu.
http://www.odorik.cz/w/well_t20
Pravda v režimu router snad používá telefon naprostá menšina uživatelů.
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
Dobrý den,
díky za velkou pomoc!
Ano, toto bylo jediné řešení, které mě napadlo, vypnout přímé volání na IP. Zatím jsem to zkoušel ponechat jen po přepnutí portů dle Vaší rady, zdálo se mi to být škoda. Telefon by měl mít speciální nastavení ještě pro "účet 0", což je přímé IP volání na telefon, ale nemá ho, teď se na přímém volání tedy nastavení z ostatních účtů neprojeví.
Bohužel, krásný port 48112 pro https na obrázku byl mnou už přenastavený nápad (standartně továrně je samozřejmě 443), přepl jste mi jej a já se do telefonu nedostanu Napište mi prosím do PM , kde telefon teď najdu , díky
díky za velkou pomoc!
Ano, toto bylo jediné řešení, které mě napadlo, vypnout přímé volání na IP. Zatím jsem to zkoušel ponechat jen po přepnutí portů dle Vaší rady, zdálo se mi to být škoda. Telefon by měl mít speciální nastavení ještě pro "účet 0", což je přímé IP volání na telefon, ale nemá ho, teď se na přímém volání tedy nastavení z ostatních účtů neprojeví.
Bohužel, krásný port 48112 pro https na obrázku byl mnou už přenastavený nápad (standartně továrně je samozřejmě 443), přepl jste mi jej a já se do telefonu nedostanu Napište mi prosím do PM , kde telefon teď najdu , díky
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
Port 48112 jsem ale neměnil. Nevím o tom. Nezapomněl jste psát před ip adresou https?Hooonza píše:Dobrý den,
díky za velkou pomoc!
Ano, toto bylo jediné řešení, které mě napadlo, vypnout přímé volání na IP. Zatím jsem to zkoušel ponechat jen po přepnutí portů dle Vaší rady, zdálo se mi to být škoda. Telefon by měl mít speciální nastavení ještě pro "účet 0", což je přímé IP volání na telefon, ale nemá ho, teď se na přímém volání tedy nastavení z ostatních účtů neprojeví.
Bohužel, krásný port 48112 pro https na obrázku byl mnou už přenastavený nápad (standartně továrně je samozřejmě 443), přepl jste mi jej a já se do telefonu nedostanu Napište mi prosím do PM , kde telefon teď najdu , díky
To přímé volání na IP ale využijete, jen pokud máte v lokální síti více SIP telefonů a chcete volat, i když nejde internet.
Tedy běžně se to vůbec nevyužije a s Odorikem můžete volat na SIP URI i přes odorik, když si to přidáte do rychlých kontaktů. Navíc nikde není napsáno, jestli ona volba je pro příchozí, odchozí nebo oboje hovory.
Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč
Dobrý den,
v jiném vlákně zrovna diskutuji na téma ohledně volání VoIP přes chytrý telefon. Samozřejmě je k tomu třeba aplikace, kterou někdo vytvoří. Na Windows Phone 8 OS toho moc není. Ale stav se lepší. Přesto - když si následně čtu toto vaše vlákno ohledně bezpečnosti a zjišťuji, že jedna z doporučovaných aplikací byla - zřejmě - vytvořena společností, která sídlí v Indii a věnuje se i např. volání do Pákistánu atp. není mi z toho příliš dobře.
Lze tedy nějak obecně aktuálně shrnout veškeré možné kroky pro navýšení bezpečnosti při volání z pevné stanice, ale také přes software v chytrém telefonu? Já třeba vůbec nevolám do ciziny a na placené linky. Proto bych přijal (pokud již je tato možnost, prosím informujte mě) možnost tato volání blokovat. Ano - klidně bych si dle slov zde užitých „blokoval celý svět“ mimo ČR, samozřejmě včetně placených linek.
Z druhé strany ... jestliže navolím do aplikace v mobilním telefonu SIP server/přihlašovací jméno - tedy šestimístné číslo Odoriku/heslo, dávám teoretickému potencionálnímu sběrateli těchto informací vše potřebné do ruky. Je to tak? Mohu i v tomto případě, tedy ve chvíli využití aplikace třetí strany a volání přes MT, navýšit bezpečnost, aby nemohlo dojít ke zneužití mého telefonického účtu, popř. jeho vytunelování? Já vím, že každý řekne - dobijte si jen pár korun. OK, dobiji si jen pár korun, ale i přesto ...
Dále bych se rád informoval, zda je již nyní možné nějak bez obtěžování zástupce Odoriku, vypnout přihlašování na účet pomocí PINu a zvolit heslo. Nebo je stále nutno kontaktovat uživatele xsouku04?
Předem díky za srozumitelné reakce.
v jiném vlákně zrovna diskutuji na téma ohledně volání VoIP přes chytrý telefon. Samozřejmě je k tomu třeba aplikace, kterou někdo vytvoří. Na Windows Phone 8 OS toho moc není. Ale stav se lepší. Přesto - když si následně čtu toto vaše vlákno ohledně bezpečnosti a zjišťuji, že jedna z doporučovaných aplikací byla - zřejmě - vytvořena společností, která sídlí v Indii a věnuje se i např. volání do Pákistánu atp. není mi z toho příliš dobře.
Lze tedy nějak obecně aktuálně shrnout veškeré možné kroky pro navýšení bezpečnosti při volání z pevné stanice, ale také přes software v chytrém telefonu? Já třeba vůbec nevolám do ciziny a na placené linky. Proto bych přijal (pokud již je tato možnost, prosím informujte mě) možnost tato volání blokovat. Ano - klidně bych si dle slov zde užitých „blokoval celý svět“ mimo ČR, samozřejmě včetně placených linek.
Z druhé strany ... jestliže navolím do aplikace v mobilním telefonu SIP server/přihlašovací jméno - tedy šestimístné číslo Odoriku/heslo, dávám teoretickému potencionálnímu sběrateli těchto informací vše potřebné do ruky. Je to tak? Mohu i v tomto případě, tedy ve chvíli využití aplikace třetí strany a volání přes MT, navýšit bezpečnost, aby nemohlo dojít ke zneužití mého telefonického účtu, popř. jeho vytunelování? Já vím, že každý řekne - dobijte si jen pár korun. OK, dobiji si jen pár korun, ale i přesto ...
Dále bych se rád informoval, zda je již nyní možné nějak bez obtěžování zástupce Odoriku, vypnout přihlašování na účet pomocí PINu a zvolit heslo. Nebo je stále nutno kontaktovat uživatele xsouku04?
Předem díky za srozumitelné reakce.