baks
29.09.2016, 23:29
Добрый День

В последнее время по SIP-линии появились входящие звонки: при поднятии трубки - тишина, на системнике определяются странные номера - что-то типа 1002, 2000, 500,600

Что это?

Mike_K
29.09.2016, 23:32
Добрый День

В последнее время по SIP-линии появились входящие звонки: при поднятии трубки - тишина, на системнике определяются странные номера - что-то типа 1002, 2000, 500,600

Что это?
Вас ломают, на предмет попользоваться Вашей медугородкой.
С чем и поздравляю!
Кто Вам АТС программировал?

baks
29.09.2016, 23:36
инженер провайдера

Mike_K
29.09.2016, 23:43
инженер провайдера
Охренеть!
Снимите трассировку этих входящих звонков и тыкните ими провайдеру. Чем быстрее, тем лучше.
Ибо потом, с Вас за все звонки в Габон, этот же провайдер бабло и сдерёт.

baks
29.09.2016, 23:51
Он некорректно запрограммировал?

BORIS-KU
30.09.2016, 02:22
Он некорректно запрограммировал?

Запрограммировал может быть и Правильно, но, как мне кажется, для Вашей АТС выдан так называемый "Белый IP Адрес", на который и идут Попытки проникновения в АТС.

В чем отличие "белого" и "серого" IP-адреса?
Все IP-адреса протокола IPv4 делятся на частные/локальные/внутренние (их называют "серые") и публичные/глобальные/внешние (их называют "белые").
Публичные "белые" адреса используются в сети Интернет. Публичным IP-адресом называется IP-адрес, который используется для выхода в Интернет. Доступ к устройству с публичным IP-адресом можно получить из любой точки глобальной сети, т.к. публичные (глобальные) IP-адреса маршрутизируются в Интернете, в отличие от частных (серых) IP-адресов.
К частным "серым" адресам относятся IP-адреса из следующих подсетей:
От 10.0.0.0 до 10.255.255.255 с маской 255.0.0.0 или /8
От 172.16.0.0 до 172.31.255.255 с маской 255.240.0.0 или /12
От 192.168.0.0 до 192.168.255.255 с маской 255.255.0.0 или /16
Это зарезервированные IP-адреса. Такие адреса предназначены для применения в локальных сетях, распределение таких адресов никем не контролируется. Напрямую доступ к сети Интернет, используя частный IP-адрес, невозможен. В этом случае связь с Интернетом осуществляется через NAT (трансляция сетевых адресов заменяет частный IP-адрес на публичный).

Если Вы получаете от Вашего Провайдера и Интернет и Городские номера по VoIP, то обычно Провайдер ставит свой Роутер, для Вашей IP-АТС выдаёт "Серый" IP-адрес из Провайдерской сети, без всяких NAT-ов.

Out
30.09.2016, 09:31
BORIS-KU, Вы немного неправы.
В "этом процессе" должен участвовать и тот кто администрирует сеть ТС.

На АТС можно открывать "белый" адрес, если он у вас не один, а несколько.
Если один "белый" адрес, то тут уже нужны танцы, или попросить провайдера интернета ограничить трафик на этом адресе и разрешить только с определенного(ых) IP, т.е. с(на) IP провайдера АйПи-телефонии.

На внешнем "белом" адресе тоже бывает роутер.
К примеру, вам выдали 64 адреса, они не все напрямую в интернет торчат, а через один белый, т.е. через роутер.
А вот на роутере надо разрешить этому "белому" адресу ходить только на IP провайдера, или на его диапазон подсети, и извне разрешить входящий трафик только с IP или подсети провайдера.

Примерно так должно быть. Не обязательно устраивать танцы с нат и прочими пробросами.

baks
30.09.2016, 15:39
Спасибо

Провайдеры интернет и СИП разные. На АТС адреса серые, хотя белый адрес есть. Сисадмин в отпуске, тонкости не прояснил.

Правильно я понимаю, взламываются именно пароли АТС и через нее гонят левый трафик или считывают параметры СИП соединения и пользуются далее ими без АТС?

Если есть ссылки на популярную литературу по безопасности СИП, скинте ,плиз.

Hunta
30.09.2016, 16:12
Правильно я понимаю, взламываются именно пароли АТС и через нее гонят левый трафик или считывают параметры СИП соединения и пользуются далее ими без АТС?

Ни то, ни то другое. Неправильно настроенная АТС позволяет совершать через нее транзитные звонки.

BORIS-KU
01.10.2016, 03:13
Каждому хакеру – по VoIP: ищем и взламываем VoIP-шлюзы.
https://xakep.ru/2011/07/12/56194/

Телефонные шалости: хакерский подход к IP-телефонии.
https://xakep.ru/2009/11/12/50028/

Поиск и взлом SIP шлюзов.
http://www.pvsm.ru/vzlom/8418

Как уменьшить риск взлома SIP аккаунта.
http://www.lastotchkin.ru/%D0%90%D0%A2%D0%A1/%D0%9A%D0%B0%D0%BA_%D0%BE%D0%B1%D0%B5%D0%B7%D0%BE% D0%BF%D0%B0%D1%81%D0%B8%D1%82%D1%8C_SIP/
В последнее время участились случаи взлома маршрутизаторов, точек доступа, подбора паролей, рассылка троянов и вирусов со сканерами сетей для получения несанкционированного доступа к учетным записям SIP. Получив доступ к учетным записям SIP, злоумышленники совершают массовые вызовы от имени абонентов. Как избежать возможных проблем с IP телефонией?

Несколько простых правил:

Не подключайте Вашу IP АТС напрямую к Интернет (без маршрутизатора, файрвола и NAT) .
Ограничивайте доступ к IP адресу и порту управления АТС, а так же к портам диагностики.
Ограничивайте доступ абонентов сети к АТС по MAC адресам и IP адресам.
Включите на маршрутизаторах правила по умолчанию - "Все запрещено", открывайте доступ только нужным устройствам.
Запросите у провайдера тарифный план с дебетной системой оплаты, поддерживайте баланс не более необходимой суммы на аккаунте SIP.
Получите статический IP адрес у провайдера, запросите у SIP оператора запрет вызовов SIP аккаунта , кроме как с Вашего IP адреса.
Установите шифрацию WPA2 на все Wi-Fi устройства в сети, настройте Access-List на каждом W-Fi роутере, базовой станции, репитере.
Включите журналы на всех марщрутизаторах, если есть возможность используйте программы типа fail2ban для предотвращения перебора паролей бутфорсом.
Установите уникальные имена пользователей и пароли максимальной длинны на все внутренние и внешние SIP устройства. Правило простое - чем длиннее и сложнее тем лучше.
Используйте генераторы учетных записей и паролей типа Pwgen.
Установите персональные PIN коды для доступа абонентов на международные направления.
Помните, что в распределенной сети, особенно с VPN сегментами, эти правила должны выполняться в каждом сегменте.
Включите генерацию и длительное хранение SMDR записей и лог-записей всего оборудования.
Установите систему записи телефонных разговоров.
Если Ваша АТС содержит несколько плат или блоков, соблюдайте эти же правила для каждого устройства в сети.
Будьте бдительны, мошенники не дремлят!

P.S. Пока Ваш СисьАдмин в Отпуске, случиться может ВСЁ !
Могли так же взломать Вашу WiFi сеть, Просканировали сеть, нашли АТС ....

Из статьи на Хакер.ru. Как пробрутить SIP-аккаунт

Практика показывает, что в Сети существует огромное количество неправильно
настроенных PBX (private branch exchange) или, по-русски говоря, офисных АТС, а
также просто SIP-аккаунтов со слабыми паролями.
......
После запуска необходимо установить несколько так называемых extensions —
внутренних номеров: 100, 101 и 123. Для первого установим простой числовой
пароль, поле пароля для второго оставим пустым, а для третьего номера укажем
какое-нибудь простое слово, которое есть в любом словаре для брута: secret.
Опять же повторюсь: все эти действия мы провернули, чтобы создать площадку для
экспериментов. Для того чтобы найти уязвимые акки используется утилиты из пакета
SIPVicious: каждая из них работает в консоли и может запускать как под виндой,
так и туксом.
....
в Вашем случае: ... "на системнике определяются странные номера - что-то типа 1002, 2000, 500,600"

т.о. ВАС уже ВЗЛОМАЛИ !!!

они просканировали внутреннюю нумерацию АТС, чтобы определить, какие внутренние номера задействованы, Ночью проверят, какие из отвечающих внутренних номеров выключены, а потом случится СТРАШНОЕ.
Уходя, сотрудники выключают свои Компьютеры, Принтеры и питание на SIP телефонах.
Аккаунты ВЫКЛЮЧЕНЫХ аппаратов остаются свободными, на них и зарегятся !
в Ночь с пятницы и все ВЫХОДНЫЕ дни, м.быть осуществлены массовые звонки на Международном направлении.

Взлом Voip систем
https://www.youtube.com/watch?v=CbspglwYeKk

hack IP PBX, SIP & VOIP
https://www.youtube.com/watch?v=MraxDBIxFfI

Наблюдатель
01.10.2016, 08:13
в Вашем случае: ... "на системнике определяются странные номера - что-то типа 1002, 2000, 500,600"

т.о. ВАС уже ВЗЛОМАЛИ !!!

Скорее нет, чем да. Странные номера зачастую отсутствуют в нумерационном плане АТС, а взлом идет посредством совершения именно транзитного звонка, а не авторизации на АТС.

BORIS-KU
01.10.2016, 22:35
Подождём выставление Счёта за СЕНТЯБРЬ !

НачШтаба
02.10.2016, 11:52
Счетов, по идее, быть не должно.. но "мусор" - он реально раздражает ..

baks
04.10.2016, 23:25
Счет не изменился, но осадочек остается...

Насколько я понял, основной метод взлома - вычислить внутренний SIP-номер, подключиться через него и делать транзитные звонки. А если такового нет или он не выведен за пределы локальной сети, задача усложняется?

Заметил ночью занятость линии, когда офис не работает(Звонил с мобилы), а потом стало откидывать с надписью - истекло время ожидания. У АТС есть какая-то своя защита от взлома?

Есть ли смысл на время закрытия офиса ставить какой-нибудь запрет на входящие (или что-то подобное) на эту линию?

Наблюдатель
05.10.2016, 08:20
Вы реально надеетесь, что вам на открытом форуме распишут способы взлома и защиты?

baks
05.10.2016, 10:15
Вы реально надеетесь, что вам на открытом форуме распишут способы взлома и защиты?

Почему - нет? Речь идет об общих понятиях.

Hunta
05.10.2016, 10:18
Общие понятия ломаются на раз два, а не общие стоят денег.

baks
05.10.2016, 10:42
Незачем уводить тему в сторону. Кто посчитает нужным - ответит.

Mike_K
05.10.2016, 14:13
Незачем уводить тему в сторону. Кто посчитает нужным - ответит.
Кто реально знает, не ответит.
Почему? Сами догадайтесь.