VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

SIP атака на * за натом ?

Новичком считается только что прочитавший «Астериск - будущее телефонии»
http://asterisk.ru/knowledgebase/books
и пытающийся сделать большее

Модераторы: april22, Zavr2008

Rom1kz
Сообщения: 8
Зарегистрирован: 23 авг 2014, 01:19

SIP атака на * за натом ?

Сообщение Rom1kz »

Всем привет..
столкнулся с интересным инцидентом, понять который пока самостоятельно не могу

есть * версии 1.8.26.1, расположен в приватной сети, в интернет идет через cisco nat
на циске ни одного порта снаружи на * не прокинуто
сам * имеет 2 внешних транка - на одном регистрируется, на другой ходит статически

в какой-то момент в консоль * посыпались сообщения об ошибках авторизации под разными учетными записями
посмотрел трансляции на циске - есть десяток трансляций на этот ip адрес и порты от 5060 и вверх
надо отметить, что ip адрес не принадлежит ни одному из 2х провайдеров, с которыми работает *, и вообще находится он в нидерландах

посмотрев логи * увидел, что это уже вторая попытка скана учетных записей за последние полгода

но как это происходит ? понять не могу

после сброса нат трансляций на циске атака прекратилась, однако очень хочется понять механику этой атаки
начинается атака так:
[May 7 00:31:58] NOTICE[13356] chan_sip.c: Registration from '<sip:5001@x.x.x.x>' failed for '91.218.247.179:7770' - Wrong password
[May 7 01:18:43] NOTICE[13356] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5068' - Wrong password
[May 7 01:18:44] NOTICE[13356] chan_sip.c: Registration from '"400" <sip:400@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5061' - Wrong password

свежий пример:
[Aug 22 21:49:23] NOTICE[14202] chan_sip.c: Registration from '<sip:1012@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 21:49:25] NOTICE[14202] chan_sip.c: Registration from '<sip:101@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 21:49:26] NOTICE[14202] chan_sip.c: Registration from '<sip:1011@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 22:40:08] NOTICE[14202] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1029]:5060>' failed for '217.23.7.117:5060' - Wrong password
[Aug 22 22:40:09] NOTICE[14202] chan_sip.c: Registration from '"500" <sip:500@[x.x.x.x:1029]:5060>' failed for '217.23.7.117:5067' - Wrong password

x.x.x.x это белый адрес, который прописан на циске
ded
Сообщения: 15619
Зарегистрирован: 26 авг 2010, 19:00

Re: SIP атака на * за натом ?

Сообщение ded »

Rom1kz, как Вы себе представляете - как работает SIP? Почему Вы думаете, что если за НАТ, то ничего снаружи не видно?
Любой сканер, который ищит UDP порты 5060 найдёт ваш Астериск за циской, и будет потом бомбить на предмет пробить экстены без пароля и входящий диал-план.
Сами посканируйте снаружи чем-нить мощным, узнаете много интересного. На открытые UDP порты натравите sipvicious
virus_net
Сообщения: 2337
Зарегистрирован: 05 июн 2013, 08:12
Откуда: Москва

Re: SIP атака на * за натом ?

Сообщение virus_net »

Rom1kz писал(а):но как это происходит ? понять не могу
Понимание придет после того как у вас будет четкое понимание работы NAT и настроек своей Cisco.
мой SIP URI sip:virus_net@asterisk.ru
bitname.ru - Домены .bit (namecoin) .emc .coin .lib .bazar (emercoin)

ENUMER - звони бесплатно и напрямую.
Аватара пользователя
Zavr2008
Сообщения: 2211
Зарегистрирован: 27 янв 2011, 00:35
Контактная информация:

Re: SIP атака на * за натом ?

Сообщение Zavr2008 »

Rom1kz писал(а):сам * имеет 2 внешних транка - на одном регистрируется, на другой ходит статически
Это говорит о том, что транк - без регистрации (с insecure=port,invite) . Астер - за NAT, т.е. ЯВНО порт 5060 - проброшен.
[May 7 01:18:43] NOTICE[13356] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5068' - Wrong password
А вот это - форменное раздолбайство. Во всех книжках пишут ставить alwaysauthreject=yes.
Также, рекомендую использовать списки deny/permit для пиров - в том случае, если у Вас все пиры - внутри сети это защитит. Можно даже занести их в шаблон и юзать.

Upd: Еще я у себя на Микротике зарядил L7 фильтр на неудачников, ломящихся по SIP со своими REGISTER и INVITE в поисках наживы.
Просто и работает :)
Российские E1 шлюзы Alvis. Модернизация УПАТС с E1,Подключение к ИС "Антифрод" E1 PRI/SS#7 УВР Телестор, Грифин и др..
Merk
Сообщения: 12
Зарегистрирован: 14 фев 2011, 07:14

Re: SIP атака на * за натом ?

Сообщение Merk »

virus_net писал(а):Upd: Еще я у себя на Микротике зарядил L7 фильтр на неудачников, ломящихся по SIP со своими REGISTER и INVITE в поисках наживы.
Просто и работает
а можно фильтр в студию? У самого астериск получает выход в инет через микротик. Хотелось бы тоже отсечь всяких сканеров
Rom1kz
Сообщения: 8
Зарегистрирован: 23 авг 2014, 01:19

Re: SIP атака на * за натом ?

Сообщение Rom1kz »

Zavr2008 писал(а): Это говорит о том, что транк - без регистрации (с insecure=port,invite) . Астер - за NAT, т.е. ЯВНО порт 5060 - проброшен.
не говорит
для входа используется транк с регистрацией, второй только для исходящих звонков
более того - в конфиге циски вообще нет упоминаний о внутреннем адресе *
Zavr2008 писал(а):
[May 7 01:18:43] NOTICE[13356] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5068' - Wrong password
А вот это - форменное раздолбайство. Во всех книжках пишут ставить alwaysauthreject=yes.
Также, рекомендую использовать списки deny/permit для пиров - в том случае, если у Вас все пиры - внутри сети это защитит. Можно даже занести их в шаблон и юзать.
я же не просто так привел версию *
вот конфиг:

;alwaysauthreject = yes ; When an incoming INVITE or REGISTER is to be rejected
; This option is set to "yes" by default.

Я прекрасно понимаю как работает нат
без исходящего пакета на адрес злоумышленника трансляция на циске не откроется
что могло побудить * отправить пакет наружу я не знаю :|
ded
Сообщения: 15619
Зарегистрирован: 26 авг 2010, 19:00

Re: SIP атака на * за натом ?

Сообщение ded »

Rom1kz писал(а): для входа используется транк с регистрацией, второй только для исходящих звонков
Rom1kz писал(а): что могло побудить * отправить пакет наружу я не знаю
Rom1kz писал(а): Я прекрасно понимаю как работает нат
Видимо - нет. Регистрация начинается с запроса на регистрацию наружу к провайдеру, верно? При это как думаете, создаётся трансляция? Я думаю да. Что-то типа
UDP 192.168.1.100:5060 транслируется наружу в x.x.x.x:1034
Сканер найдёт интересный порт UDP 1034 и попытается покидать туда SIP запросы, ответы его вполне устроят.
Rom1kz
Сообщения: 8
Зарегистрирован: 23 авг 2014, 01:19

Re: SIP атака на * за натом ?

Сообщение Rom1kz »

ded писал(а):
Rom1kz писал(а): Я прекрасно понимаю как работает нат
Видимо - нет. Регистрация начинается с запроса на регистрацию наружу к провайдеру, верно? При это как думаете, создаётся трансляция? Я думаю да. Что-то типа
UDP 192.168.1.100:5060 транслируется наружу в x.x.x.x:1034
Сканер найдёт интересный порт UDP 1034 и попытается покидать туда SIP запросы, ответы его вполне устроят.
бррр, стоп
трансляция наружу создаётся для конкретного внешнего адреса.. и, судя по вашей логике, любой пакет снаружи пришедший на адрес циски с портом, созданным для трансляции, ПЕРЕПИСЫВАЕТ ТРАНСЛЯЦИЮ, заменяя прежний внешний адрес (для доступа к которому трансляция изначально и создавалась) на тот, с которого пришел пакет.
правильно понимаю ?
то есть была трансляция вида 10.0.0.1:5060 -> x.x.x.x:1034 (cisco) -> y.y.y.y:5060 (адрес в инете)
и после этого некто z.z.z.z шлет на x.x.x.x:1034 пакет и трансляция становится 10.0.0.1:5060 -> x.x.x.x:1034 (cisco) -> z.z.z.z:5060 (адрес в инете)

нет, я наверно всё же неправильно понял вашу мысль...
Аватара пользователя
SolarW
Сообщения: 1331
Зарегистрирован: 01 сен 2010, 14:21
Откуда: Днепропетровск, Украина

Re: SIP атака на * за натом ?

Сообщение SolarW »

Zavr2008 писал(а):Upd: Еще я у себя на Микротике зарядил L7 фильтр на неудачников, ломящихся по SIP со своими REGISTER и INVITE в поисках наживы.
Просто и работает :)
Присоединюсь к просьбе.
/ip firewall export compact
попросим в студию :-)
Не весь конечно а строки имеющие отношение к написанному.
april22
Сообщения: 2187
Зарегистрирован: 09 июл 2012, 09:47

Re: SIP атака на * за натом ?

Сообщение april22 »

+1
да можно и весь под споллер .
Своими вопросами , вы загоняете меня в ГУГЛЬ.
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH