Страница 1 из 3

SIP атака на * за натом ?

Добавлено: 23 авг 2014, 01:31
Rom1kz
Всем привет..
столкнулся с интересным инцидентом, понять который пока самостоятельно не могу

есть * версии 1.8.26.1, расположен в приватной сети, в интернет идет через cisco nat
на циске ни одного порта снаружи на * не прокинуто
сам * имеет 2 внешних транка - на одном регистрируется, на другой ходит статически

в какой-то момент в консоль * посыпались сообщения об ошибках авторизации под разными учетными записями
посмотрел трансляции на циске - есть десяток трансляций на этот ip адрес и порты от 5060 и вверх
надо отметить, что ip адрес не принадлежит ни одному из 2х провайдеров, с которыми работает *, и вообще находится он в нидерландах

посмотрев логи * увидел, что это уже вторая попытка скана учетных записей за последние полгода

но как это происходит ? понять не могу

после сброса нат трансляций на циске атака прекратилась, однако очень хочется понять механику этой атаки
начинается атака так:
[May 7 00:31:58] NOTICE[13356] chan_sip.c: Registration from '<sip:5001@x.x.x.x>' failed for '91.218.247.179:7770' - Wrong password
[May 7 01:18:43] NOTICE[13356] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5068' - Wrong password
[May 7 01:18:44] NOTICE[13356] chan_sip.c: Registration from '"400" <sip:400@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5061' - Wrong password

свежий пример:
[Aug 22 21:49:23] NOTICE[14202] chan_sip.c: Registration from '<sip:1012@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 21:49:25] NOTICE[14202] chan_sip.c: Registration from '<sip:101@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 21:49:26] NOTICE[14202] chan_sip.c: Registration from '<sip:1011@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 22:40:08] NOTICE[14202] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1029]:5060>' failed for '217.23.7.117:5060' - Wrong password
[Aug 22 22:40:09] NOTICE[14202] chan_sip.c: Registration from '"500" <sip:500@[x.x.x.x:1029]:5060>' failed for '217.23.7.117:5067' - Wrong password

x.x.x.x это белый адрес, который прописан на циске

Re: SIP атака на * за натом ?

Добавлено: 23 авг 2014, 01:47
ded
Rom1kz, как Вы себе представляете - как работает SIP? Почему Вы думаете, что если за НАТ, то ничего снаружи не видно?
Любой сканер, который ищит UDP порты 5060 найдёт ваш Астериск за циской, и будет потом бомбить на предмет пробить экстены без пароля и входящий диал-план.
Сами посканируйте снаружи чем-нить мощным, узнаете много интересного. На открытые UDP порты натравите sipvicious

Re: SIP атака на * за натом ?

Добавлено: 23 авг 2014, 13:26
virus_net
Rom1kz писал(а):но как это происходит ? понять не могу
Понимание придет после того как у вас будет четкое понимание работы NAT и настроек своей Cisco.

Re: SIP атака на * за натом ?

Добавлено: 23 авг 2014, 18:00
Zavr2008
Rom1kz писал(а):сам * имеет 2 внешних транка - на одном регистрируется, на другой ходит статически
Это говорит о том, что транк - без регистрации (с insecure=port,invite) . Астер - за NAT, т.е. ЯВНО порт 5060 - проброшен.
[May 7 01:18:43] NOTICE[13356] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5068' - Wrong password
А вот это - форменное раздолбайство. Во всех книжках пишут ставить alwaysauthreject=yes.
Также, рекомендую использовать списки deny/permit для пиров - в том случае, если у Вас все пиры - внутри сети это защитит. Можно даже занести их в шаблон и юзать.

Upd: Еще я у себя на Микротике зарядил L7 фильтр на неудачников, ломящихся по SIP со своими REGISTER и INVITE в поисках наживы.
Просто и работает :)

Re: SIP атака на * за натом ?

Добавлено: 25 авг 2014, 15:14
Merk
virus_net писал(а):Upd: Еще я у себя на Микротике зарядил L7 фильтр на неудачников, ломящихся по SIP со своими REGISTER и INVITE в поисках наживы.
Просто и работает
а можно фильтр в студию? У самого астериск получает выход в инет через микротик. Хотелось бы тоже отсечь всяких сканеров

Re: SIP атака на * за натом ?

Добавлено: 25 авг 2014, 15:38
Rom1kz
Zavr2008 писал(а): Это говорит о том, что транк - без регистрации (с insecure=port,invite) . Астер - за NAT, т.е. ЯВНО порт 5060 - проброшен.
не говорит
для входа используется транк с регистрацией, второй только для исходящих звонков
более того - в конфиге циски вообще нет упоминаний о внутреннем адресе *
Zavr2008 писал(а):
[May 7 01:18:43] NOTICE[13356] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5068' - Wrong password
А вот это - форменное раздолбайство. Во всех книжках пишут ставить alwaysauthreject=yes.
Также, рекомендую использовать списки deny/permit для пиров - в том случае, если у Вас все пиры - внутри сети это защитит. Можно даже занести их в шаблон и юзать.
я же не просто так привел версию *
вот конфиг:

;alwaysauthreject = yes ; When an incoming INVITE or REGISTER is to be rejected
; This option is set to "yes" by default.

Я прекрасно понимаю как работает нат
без исходящего пакета на адрес злоумышленника трансляция на циске не откроется
что могло побудить * отправить пакет наружу я не знаю :|

Re: SIP атака на * за натом ?

Добавлено: 25 авг 2014, 17:18
ded
Rom1kz писал(а): для входа используется транк с регистрацией, второй только для исходящих звонков
Rom1kz писал(а): что могло побудить * отправить пакет наружу я не знаю
Rom1kz писал(а): Я прекрасно понимаю как работает нат
Видимо - нет. Регистрация начинается с запроса на регистрацию наружу к провайдеру, верно? При это как думаете, создаётся трансляция? Я думаю да. Что-то типа
UDP 192.168.1.100:5060 транслируется наружу в x.x.x.x:1034
Сканер найдёт интересный порт UDP 1034 и попытается покидать туда SIP запросы, ответы его вполне устроят.

Re: SIP атака на * за натом ?

Добавлено: 26 авг 2014, 01:00
Rom1kz
ded писал(а):
Rom1kz писал(а): Я прекрасно понимаю как работает нат
Видимо - нет. Регистрация начинается с запроса на регистрацию наружу к провайдеру, верно? При это как думаете, создаётся трансляция? Я думаю да. Что-то типа
UDP 192.168.1.100:5060 транслируется наружу в x.x.x.x:1034
Сканер найдёт интересный порт UDP 1034 и попытается покидать туда SIP запросы, ответы его вполне устроят.
бррр, стоп
трансляция наружу создаётся для конкретного внешнего адреса.. и, судя по вашей логике, любой пакет снаружи пришедший на адрес циски с портом, созданным для трансляции, ПЕРЕПИСЫВАЕТ ТРАНСЛЯЦИЮ, заменяя прежний внешний адрес (для доступа к которому трансляция изначально и создавалась) на тот, с которого пришел пакет.
правильно понимаю ?
то есть была трансляция вида 10.0.0.1:5060 -> x.x.x.x:1034 (cisco) -> y.y.y.y:5060 (адрес в инете)
и после этого некто z.z.z.z шлет на x.x.x.x:1034 пакет и трансляция становится 10.0.0.1:5060 -> x.x.x.x:1034 (cisco) -> z.z.z.z:5060 (адрес в инете)

нет, я наверно всё же неправильно понял вашу мысль...

Re: SIP атака на * за натом ?

Добавлено: 26 авг 2014, 04:05
SolarW
Zavr2008 писал(а):Upd: Еще я у себя на Микротике зарядил L7 фильтр на неудачников, ломящихся по SIP со своими REGISTER и INVITE в поисках наживы.
Просто и работает :)
Присоединюсь к просьбе.
/ip firewall export compact
попросим в студию :-)
Не весь конечно а строки имеющие отношение к написанному.

Re: SIP атака на * за натом ?

Добавлено: 26 авг 2014, 08:45
april22
+1
да можно и весь под споллер .