VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

SIP атака на * за натом ?

Новичком считается только что прочитавший «Астериск - будущее телефонии»
http://asterisk.ru/knowledgebase/books
и пытающийся сделать большее

Модераторы: april22, Zavr2008

ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: SIP атака на * за натом ?

Сообщение ded »

Rom1kz писал(а):то есть была трансляция вида 10.0.0.1:5060 -> x.x.x.x:1034 (cisco) -> y.y.y.y:5060 (адрес в инете)
и после этого некто z.z.z.z шлет на x.x.x.x:1034 пакет и трансляция становится 10.0.0.1:5060 -> x.x.x.x:1034 (cisco) -> z.z.z.z:5060 (адрес в инете)

нет, я наверно всё же неправильно понял вашу мысль...
Если бы Вы не шхерили крестиком свои ИП адреса, я бы ещё попытался объяснить свою мысль.
Пожалуйста, не будем дискутировать о том как устроен мир! Возмите продвинутый UDP сканер и просканируйте снаружи. Потом на открытые UDP порты покидайте SIP запросы из sipvicious, при этом смотрите в консоль Астериска. Будет всё ясно.
Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: SIP атака на * за натом ?

Сообщение Ferrum »

ded писал(а):Если бы Вы не шхерили крестиком свои ИП адреса, я бы ещё попытался объяснить свою мысль.
Пожалуйста, не будем дискутировать о том как устроен мир! Возмите продвинутый UDP сканер и просканируйте снаружи. Потом на открытые UDP порты покидайте SIP запросы из sipvicious, при этом смотрите в консоль Астериска. Будет всё ясно.
Хм очень интересно, поставлю чуть позже Asterisk на виртуалку за НАТ и протестирую, но хотя сильно сомневаюсь.
И да конфиг Циски в студию.
Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: SIP атака на * за натом ?

Сообщение Ferrum »

И так установил
В качестве NAT Микротик 750GL
NAT настроен через masquerade, фильтр специально отключил.
Asterisk Зарегал На сипнет.
Соответственно открывается сессия на 212.53.40.40:5060
Любое сканирования со стороннего адреса завершается неудачей, пока не пробросить порт.
virus_net
Сообщения: 2337
Зарегистрирован: 05 июн 2013, 08:12
Откуда: Москва

Re: SIP атака на * за натом ?

Сообщение virus_net »

Ferrum писал(а):Соответственно открывается сессия на 212.53.40.40:5060
и она открывается с ВАШЕГО IP и с вашего ПОРТА
Вот и посканьте ВАШ ПОРТ извне.
мой SIP URI sip:virus_net@asterisk.ru
bitname.ru - Домены .bit (namecoin) .emc .coin .lib .bazar (emercoin)

ENUMER - звони бесплатно и напрямую.
Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: SIP атака на * за натом ?

Сообщение Ferrum »

virus_net писал(а):
Ferrum писал(а):Соответственно открывается сессия на 212.53.40.40:5060
и она открывается с ВАШЕГО IP и с вашего ПОРТА
Вот и посканьте ВАШ ПОРТ извне.
Само собой я сканирую извне.
И так мой роутер имеет внешний адрес 83.219.X.X, внутренний 10.100.100.1/27
Астериск 10.100.100.9
Поднят транк с сипнетом 212.53.40.40:5060
Nat порт не меняет
Соответственно сканируем с 144.76.X.X порт 5060 (шлем SIP запросы), а далее для чистоты эксперимента все UDP порты.
Все закрыто никуда ничего не проходит.(в принципе и не должно)
Подскажите железо, софт, где с подобными фокусами NAT вы сталкивались.
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: SIP атака на * за натом ?

Сообщение ded »

И так мой роутер имеет внешний адрес 83.219.X.X,
Что заставляет закрывать два октета крестиками? Хотите увидеть много SIP мусора у себя? Опубликуйте свой ИП.
NAT - это не firewall, и если бы видели состояние своего зареганного пира у сипнета на 212.53.40.40:5060, то увидели бы, что он зарегистрирован с верхних портов, типа (в нотации Астериск):

Код: Выделить всё

Ferrum/passwd                   83.219.X.X    D   N   A  41024     OK (412 ms) 
Вот этот UDP порт (в примере - 41024) является открытым для приёма входящих вызовов (иначе как можно принять входящий?), можно покидать туда SIP INVITE или REGISTER
Да и посмотрите таблицу трансляции адресов на Микротик 750GL, если он это позволяет.
Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: SIP атака на * за натом ?

Сообщение Ferrum »

Смотрел в ситуации с сипнетом порт 5060 не изменен.
212.53.40.40:5060 -> 83.219.X.X:5060
А вот хацкеры долбяться к примеру так. (5060 проброшен сейчас)
23.95.82.42:5086-> 83.219.X.X:5060
Специально зарегистрировался на другом железе.

Код: Выделить всё

700/700                    83.219.X.X                           D   N   A  5060     Unmonitored Cached RT
Может Микротик не удачный пример ?
sipvicious ничего не видет пока не проброшен порт.
Rom1kz
Сообщения: 8
Зарегистрирован: 23 авг 2014, 01:19

Re: SIP атака на * за натом ?

Сообщение Rom1kz »

проверил у себя - ничего не получилось

./svcrack.py x.x.x.x -p 1040 -u 100
ERROR:ASipOfRedWine:no server response
WARNING:root:found nothing

ни в консоли, ни в tcp дампе ничего не пришло от циски на внутренний ip
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: SIP атака на * за натом ?

Сообщение ded »

Два пути:
1) Раскуривайте тему самостоятельно, используя продвинутые сканеры UDP, например SIPVicious имеет в своём составе инструменты -
SIPVicious suite is a set of tools that can be used to audit SIP based VoIP systems. It currently consists of four tools:

svmap - this is a sip scanner. Lists SIP devices found on an IP range
svwar - identifies active extensions on a PBX
svcrack - an online password cracker for SIP PBX
svreport - manages sessions and exports reports to various formats
svcrash - attempts to stop unauthorized svwar and svcrack scans
2) Закажите внешний аудит безопасности у аутсорсинговой компании, ключевые слова в Гугль -
SIP security audit
Rom1kz
Сообщения: 8
Зарегистрирован: 23 авг 2014, 01:19

Re: SIP атака на * за натом ?

Сообщение Rom1kz »

ded прав

во всяком случае нат циски работает именно так
имея динамическую трансляцию циска не игнорирует пришедшие на порт пакеты с чужого ип, а создаёт еще одну динамическую трансляцию, но уже с адресом злоумышленника
до сканирования
udp x.x.x.x:1041 10.10.10.4:5060 y.y.y.y:5060

после сканирования
udp x.x.x.x:1041 10.10.10.4:5060 y.y.y.y:5060
udp x.x.x.x:1041 10.10.10.4:5060 z.z.z.z:5061

X - внешний адрес
Y - провайдер
Z - сканер

UPD: с IPNAT в freebsd такой фокус не проходит
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH