Страница 1 из 2
Взлом, yeastar за NAT
Добавлено: 05 авг 2016, 23:28
Roma_N
Добрый вечер!
У клиента установлена АТС yeastar mypbx SOHO. Ставили 2 года назад. Межгород МТТ по SIP.
Сеть организована на 2 филиала. В центральном узле и филиалах установлены маршрутизаторы микротик и объеденены по VPN. Удаленные (2) сотрудники цепляются шлюзами TAU 2.IP по VPN к микротику. Прямой внешний доступ закрыт! Только по VPN через микротик.
Утром оказалось, что межгород заблокирован по нехватке финансов. По статистике АТС звонки с внутренних номеров (с 3-х) в 23.00 - 24.00 в Боснию и Герцеговину.
По безопасности конечно немного схалтурил. Пароли на них одинаковые (5 телефонов), но 8 знаков цифры и буквы. Fail2Ban не включал на yeastar. Но АТС у меня за NAT и никак на прямую во внешний мир не смотрит. Порты не проброшены, WEB только изнутри. Как поломали? Вирус на ПК? Yeastar ип не пишет в статистике и на микротиках лог мало хранится - ничего уже нет. Всегда думал спрятать за NAT один из самых надежных способов защиты...
Пароли конечно поменяю, fail2ban включи. В диалплане подробнее пропишу разрешенные маршруты, но факт непонимания, как и что, а самое главное откуда! сломали, не дает покоя.
Re: Взлом, yeastar за NAT
Добавлено: 06 авг 2016, 09:12
april22
Ну вы эе нам расскажит5?
Можите у разработчиков поинтересоватся
Re: Взлом, yeastar за NAT
Добавлено: 06 авг 2016, 09:23
Roma_N
Обязательно поинтересуюсь. Только это до понедельника, да и на ответ особо не рассчитываю.
fail2ban все таки включен был...
Если узнаю, как сломали, отпишу обязательно. Но пока идей 0.
Re: Взлом, yeastar за NAT
Добавлено: 06 авг 2016, 10:35
trscod
Знаю 101 способ накосячить в настройках микротика.
Re: Взлом, yeastar за NAT
Добавлено: 06 авг 2016, 11:08
Roma_N
Могли получить прямой доступ к порту 5060 на АТС?
Сейчас нашел, что доступ к одному из микротиков взломан (но yeastar находится не за ним). Подобран пароль. Пока оставил. Логирование на АТС включил, посмотрю, с какого места будут пытаться подключаться (финансовая блокировка со стороны провайдера все равно включена, да и звонки МНиМГ пустил в пустой транк). Каждую ночь пробуют. 5 звонков не проходит, отключаются.
А что можно накосячить в микротике, чтобы получили прямой доступ к станции? Приведите хоть несколько ошибок. Взломали микротик, надо еще просканировать всю сеть, найти, что там есть SIP станции, её ломануть...
Re: Взлом, yeastar за NAT
Добавлено: 06 авг 2016, 14:48
awsswa
На микротике - по умолчанию блокирующее правило есть но , правило на блокировку с сети WAN интерфейсу когда там ip адресс
когда вы поднимаете например на микротике PPoE - интерфейс WAN становится другим и всё ...
здравствуй торчащий наружу telnet ssh - и только вопрос времени когда подберут пароль если он до 6 символов
Надо было всего - регулярно смотреть логи на микротик, и при наличии перебора паролей сделай необходимое.
PS в своё время - специально стали собирать логи со всех микротиков в одно место у себя.
Что бы местные админы не делали финт ушами - я нечего не трогал оно само сломалось ( и логи потерлись заодно)
Re: Взлом, yeastar за NAT
Добавлено: 07 авг 2016, 10:17
Roma_N
Ну понятно, что закрыть надо. Мы их не обслуживали, поэтому и не мониторили.
Если ломают целенаправленно, чтобы получить доступ к станции, зная, что она там есть, то да! Вопросов нет.
Но как правило эти переборы паролей по ssh идут в автоматическом режиме по "всем подряд". Получили доступ к микротику.
Но к АТС прямого доступа все равно не было. Пробросов никаких на роутере новых не появилось. Если только за собой не закрыли. Как можно совершать звонки по ssh с микротика? Нет понимания процесса получения доступа. Откуда защищаться? Сломали получается 4 числа ночью. Днем заходил на станцию, предупреждений, что были попытки подбора паролей - не было. Быстро пароль нашли. все таки 8 знаков (цифры, прописные и заглавные буквы)
Может какой троян/ вирус на ПК? Я до этого с ними не сталкивался, да и в интернете про это ничего не нашел. Или по TeamViewer заходят)) Через web интерфейсу пароли посмотреть можно.
Сегодня ночью уже не ломают(( Звонки не проходят, отлипли наверно(
Re: Взлом, yeastar за NAT
Добавлено: 01 сен 2016, 13:16
Ferrum
Глянуть настройки Микротик не плохо, если есть такая возможность пишите в л/с.
На самом деле в Микротике без явных ошибок в настройке таких проблем быть не должно в Цирке был баг с подменой адреса в НАТ.
И хотелось бы больше информации про клиенские Тау на них был белый адрес + VPN.
Re: Взлом, yeastar за NAT
Добавлено: 02 сен 2016, 18:30
Repz
Roma_N писал(а):Днем заходил на станцию, предупреждений, что были попытки подбора паролей - не было. Быстро пароль нашли. все таки 8 знаков (цифры, прописные и заглавные буквы)
Может какой троян/ вирус на ПК?
Пароли и логины ходят в открытую если не tls. Так что ищите снифера в локалке. Телефонию в отдельный vlan запихните, включите acl. И еще, nat не является защитой, изнутри соединения же разрешены, так что построить тунель пару минут.
Re: Взлом, yeastar за NAT
Добавлено: 05 сен 2016, 22:29
Zavr2008
yeastar разве OpenSource? могут намутить многое)))