Страница 2 из 3

Re: SIP атака на * за натом ?

Добавлено: 26 авг 2014, 10:02
ded
Rom1kz писал(а):то есть была трансляция вида 10.0.0.1:5060 -> x.x.x.x:1034 (cisco) -> y.y.y.y:5060 (адрес в инете)
и после этого некто z.z.z.z шлет на x.x.x.x:1034 пакет и трансляция становится 10.0.0.1:5060 -> x.x.x.x:1034 (cisco) -> z.z.z.z:5060 (адрес в инете)

нет, я наверно всё же неправильно понял вашу мысль...
Если бы Вы не шхерили крестиком свои ИП адреса, я бы ещё попытался объяснить свою мысль.
Пожалуйста, не будем дискутировать о том как устроен мир! Возмите продвинутый UDP сканер и просканируйте снаружи. Потом на открытые UDP порты покидайте SIP запросы из sipvicious, при этом смотрите в консоль Астериска. Будет всё ясно.

Re: SIP атака на * за натом ?

Добавлено: 26 авг 2014, 10:46
Ferrum
ded писал(а):Если бы Вы не шхерили крестиком свои ИП адреса, я бы ещё попытался объяснить свою мысль.
Пожалуйста, не будем дискутировать о том как устроен мир! Возмите продвинутый UDP сканер и просканируйте снаружи. Потом на открытые UDP порты покидайте SIP запросы из sipvicious, при этом смотрите в консоль Астериска. Будет всё ясно.
Хм очень интересно, поставлю чуть позже Asterisk на виртуалку за НАТ и протестирую, но хотя сильно сомневаюсь.
И да конфиг Циски в студию.

Re: SIP атака на * за натом ?

Добавлено: 26 авг 2014, 19:17
Ferrum
И так установил
В качестве NAT Микротик 750GL
NAT настроен через masquerade, фильтр специально отключил.
Asterisk Зарегал На сипнет.
Соответственно открывается сессия на 212.53.40.40:5060
Любое сканирования со стороннего адреса завершается неудачей, пока не пробросить порт.

Re: SIP атака на * за натом ?

Добавлено: 26 авг 2014, 19:22
virus_net
Ferrum писал(а):Соответственно открывается сессия на 212.53.40.40:5060
и она открывается с ВАШЕГО IP и с вашего ПОРТА
Вот и посканьте ВАШ ПОРТ извне.

Re: SIP атака на * за натом ?

Добавлено: 26 авг 2014, 20:37
Ferrum
virus_net писал(а):
Ferrum писал(а):Соответственно открывается сессия на 212.53.40.40:5060
и она открывается с ВАШЕГО IP и с вашего ПОРТА
Вот и посканьте ВАШ ПОРТ извне.
Само собой я сканирую извне.
И так мой роутер имеет внешний адрес 83.219.X.X, внутренний 10.100.100.1/27
Астериск 10.100.100.9
Поднят транк с сипнетом 212.53.40.40:5060
Nat порт не меняет
Соответственно сканируем с 144.76.X.X порт 5060 (шлем SIP запросы), а далее для чистоты эксперимента все UDP порты.
Все закрыто никуда ничего не проходит.(в принципе и не должно)
Подскажите железо, софт, где с подобными фокусами NAT вы сталкивались.

Re: SIP атака на * за натом ?

Добавлено: 27 авг 2014, 03:49
ded
И так мой роутер имеет внешний адрес 83.219.X.X,
Что заставляет закрывать два октета крестиками? Хотите увидеть много SIP мусора у себя? Опубликуйте свой ИП.
NAT - это не firewall, и если бы видели состояние своего зареганного пира у сипнета на 212.53.40.40:5060, то увидели бы, что он зарегистрирован с верхних портов, типа (в нотации Астериск):

Код: Выделить всё

Ferrum/passwd                   83.219.X.X    D   N   A  41024     OK (412 ms) 
Вот этот UDP порт (в примере - 41024) является открытым для приёма входящих вызовов (иначе как можно принять входящий?), можно покидать туда SIP INVITE или REGISTER
Да и посмотрите таблицу трансляции адресов на Микротик 750GL, если он это позволяет.

Re: SIP атака на * за натом ?

Добавлено: 27 авг 2014, 09:09
Ferrum
Смотрел в ситуации с сипнетом порт 5060 не изменен.
212.53.40.40:5060 -> 83.219.X.X:5060
А вот хацкеры долбяться к примеру так. (5060 проброшен сейчас)
23.95.82.42:5086-> 83.219.X.X:5060
Специально зарегистрировался на другом железе.

Код: Выделить всё

700/700                    83.219.X.X                           D   N   A  5060     Unmonitored Cached RT
Может Микротик не удачный пример ?
sipvicious ничего не видет пока не проброшен порт.

Re: SIP атака на * за натом ?

Добавлено: 28 авг 2014, 17:16
Rom1kz
проверил у себя - ничего не получилось

./svcrack.py x.x.x.x -p 1040 -u 100
ERROR:ASipOfRedWine:no server response
WARNING:root:found nothing

ни в консоли, ни в tcp дампе ничего не пришло от циски на внутренний ip

Re: SIP атака на * за натом ?

Добавлено: 28 авг 2014, 18:58
ded
Два пути:
1) Раскуривайте тему самостоятельно, используя продвинутые сканеры UDP, например SIPVicious имеет в своём составе инструменты -
SIPVicious suite is a set of tools that can be used to audit SIP based VoIP systems. It currently consists of four tools:

svmap - this is a sip scanner. Lists SIP devices found on an IP range
svwar - identifies active extensions on a PBX
svcrack - an online password cracker for SIP PBX
svreport - manages sessions and exports reports to various formats
svcrash - attempts to stop unauthorized svwar and svcrack scans
2) Закажите внешний аудит безопасности у аутсорсинговой компании, ключевые слова в Гугль -
SIP security audit

Re: SIP атака на * за натом ?

Добавлено: 29 авг 2014, 00:52
Rom1kz
ded прав

во всяком случае нат циски работает именно так
имея динамическую трансляцию циска не игнорирует пришедшие на порт пакеты с чужого ип, а создаёт еще одну динамическую трансляцию, но уже с адресом злоумышленника
до сканирования
udp x.x.x.x:1041 10.10.10.4:5060 y.y.y.y:5060

после сканирования
udp x.x.x.x:1041 10.10.10.4:5060 y.y.y.y:5060
udp x.x.x.x:1041 10.10.10.4:5060 z.z.z.z:5061

X - внешний адрес
Y - провайдер
Z - сканер

UPD: с IPNAT в freebsd такой фокус не проходит