VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

SIP атака на * за натом ?

Новичком считается только что прочитавший «Астериск - будущее телефонии»
http://asterisk.ru/knowledgebase/books
и пытающийся сделать большее

Модераторы: april22, Zavr2008

Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: SIP атака на * за натом ?

Сообщение Ferrum »

Расскажи как этого добился (как сканировал), интересно как стандартный линуксовый iptables и NAT себя поведут.
Rom1kz
Сообщения: 8
Зарегистрирован: 23 авг 2014, 01:19

Re: SIP атака на * за натом ?

Сообщение Rom1kz »

Ferrum писал(а):Расскажи как этого добился (как сканировал), интересно как стандартный линуксовый iptables и NAT себя поведут.
ничего сложного
необходимо чтоб * находящийся в приватной сети создал НАТ трасляцию на роутере с порта сигнализации SIP (UDP 5060 по умолчанию)
после этого смотрим с какого порта роутер выводит эту трасляцию в мир и сканим этот порт снаружи
./svmap.py -p1040 x.x.x.x
если точно не знаешь порта, то сканеру можно задать диапазон -p1024-65536
в случае если НАТ реализован по типу full cone nat (как на cisco), то будет создана динамическая трансляция с новым внешним адресом
елси у вас [port] restricted cone nat или симметричный нат, то такого не произойдет

если сменить нат или его реализацию невозможно, то выхода 2:
1. рубить фаерволом ненужный траф
2. юзать на * TCP протокол SIP сигнализации для внешних пиров
Аватара пользователя
Zavr2008
Сообщения: 2211
Зарегистрирован: 27 янв 2011, 00:35
Контактная информация:

Re: SIP атака на * за натом ?

Сообщение Zavr2008 »

SolarW писал(а):
Zavr2008 писал(а):Upd: Еще я у себя на Микротике зарядил L7 фильтр на неудачников, ломящихся по SIP со своими REGISTER и INVITE в поисках наживы.
Присоединюсь к просьбе.
/ip firewall export compact
Сорри, только сейчас увидел(

Код: Выделить всё

/ip firewall layer7-protocol
add comment="SIP incoming invites" name=sip-register regexp="^(invite|register) sip[x09-x0d -~]*sip/[0-2].[0-9]"

/ip firewall mangle
add action=add-src-to-address-list address-list=SIP-in address-list-timeout=15m chain=prerouting dst-port=5060 in-interface=ether1-gateway layer7-protocol=sip-register limit=10,5 protocol=udp

/ip firewall filter
add action=drop chain=forward dst-port=5060 protocol=udp src-address-list=SIP-in

Российские E1 шлюзы Alvis. Модернизация УПАТС с E1,Подключение к ИС "Антифрод" E1 PRI/SS#7 УВР Телестор, Грифин и др..
Аватара пользователя
SolarW
Сообщения: 1331
Зарегистрирован: 01 сен 2010, 14:21
Откуда: Днепропетровск, Украина

Re: SIP атака на * за натом ?

Сообщение SolarW »

Крррррасота!!! :-)
Сижу, любуюсь, за час уже наловилось рыбки.
Только тайм-аут увеличил с 15 минут до одного часа.
sip_scan_01.png
sip_scan_01.png (7.39 КБ) 9948 просмотров
Большое спасибо, применю на всех подшефных инсталляциях.
Аватара пользователя
SolarW
Сообщения: 1331
Зарегистрирован: 01 сен 2010, 14:21
Откуда: Днепропетровск, Украина

Re: SIP атака на * за натом ?

Сообщение SolarW »

Не совсем красота...
Пришлось убрать это правило, народ стал жаловаться на отпавшие удаленные телефоны.
Надо более тщательно продумать количество запросов для анализа и какие тайм-ауты на телефонах ставить...
Merk
Сообщения: 12
Зарегистрирован: 14 фев 2011, 07:14

Re: SIP атака на * за натом ?

Сообщение Merk »

Не совсем красота...
Пришлось убрать это правило, народ стал жаловаться на отпавшие удаленные телефоны.
Подтверждаю. С проблемой столкнулся юзер, у которого установлен Yealink SIP-T21P. Установлено, что данный аппарат постоянно шлет некие пакеты к астериску (просматривается в графике предложенного правила mangle), на которые срабатывает блок в микротике. Пакеты эти он шлет даже в состоянии покоя.

У другого юзера установлен D-Link DPH-150S, с ним все нормально, такой проблемы нет.

Может кто знает, что нужно отключить в настройках Yealink, чтобы он "успокоился"?
awsswa
Сообщения: 2390
Зарегистрирован: 09 июн 2012, 10:52
Откуда: Россия, Пермь skype: yarick_perm

Re: SIP атака на * за натом ?

Сообщение awsswa »

да что угодно может слать - OPTIONS скорее всего для поддержки NAT - можно выключить
платный суппорт по мере возможностей
ded
Сообщения: 15619
Зарегистрирован: 26 авг 2010, 19:00

Re: SIP атака на * за натом ?

Сообщение ded »

НЕ совсем.
OPTIONS для поддержки NAT - это механизм поддержки трансляции со стороны Астериска, который инициирует эти пакеты,
А тут наоборот, Yealink SIP-T21P инициирует, так что возможно это опция nat keepalive, для тех же целей, но со стороны клиента.
Аватара пользователя
SolarW
Сообщения: 1331
Зарегистрирован: 01 сен 2010, 14:21
Откуда: Днепропетровск, Украина

Re: SIP атака на * за натом ?

Сообщение SolarW »

Тут вопрос в том, что приведенное правило для микротика "возбуждается" только от SIP REGISTER / INVITE запросов... Так что OPTIONS тут точно ни о чем.
Я вот сейчас не помню - телефон когда пытается позвонить должен INVITE слать?
ded
Сообщения: 15619
Зарегистрирован: 26 авг 2010, 19:00

Re: SIP атака на * за натом ?

Сообщение ded »

Да.
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH