Отбиваемся от хакеров или недочеты в настройке VoIP шлюзов

[tma]

Ссылка

В начале 2011 года приключилась история. Началось все с того, что в офис стали приходить звонки с номеров, начинавшихся на 810 – международные. А еще через некоторое время дозвониться нам стало просто невозможно, так как на одном из шлюзов оказались заняты абсолютно все линии. Очень странно, вы так не считаете?

Логи Asteriskа молчат, согласно им мы ни с кем не общаемся, а шлюз тем временем продолжает набирать заграницу, да какую: Зимбабве, Эфиопия, Афганистан… Такие вот хакеры-терористы, ворующие телефонный трафик. И все это несмотря на то, что шлюз имел свой собственный внешний IP-адрес с защищенным паролем подключением.

Так что же произошло? А вот что. Шлюзом у нас стоял Dlink 6004s, который, как выяснилось, даже при запароленном доступе к линиям не против принять на 5060 порту чужой запрос INVITE и звонить по всему «преступному» миру.

Недолго думая, мы отключили возможность набирать номера на 810 и упрятали шлюз за NAT, на чем и успокоились, считая, что все в порядке. Но был у нас в офисе еще одни шлюз – Dlink 7111s, тоже стоящий за NAT, к которому были подключены один телефон, одна телефонная линия и… наши знакомые пираты, обошли NAT и продолжили свой нечестный бизнес за наш счет.

Отсюда я сделал несколько важных выводов, которыми хотел бы поделиться:

Мониторьте важное сетевое оборудование, которое может нанести вред. Особенно это относится к VoIP. Нам еще повезло, что проблему со шлюзами быстро обнаружили. Но даже так ущерб за два взлома (в январе и марте) составил 1000 долларов.

NAT не является гарантированной защитой. Лучше уж VPN, с ним, по крайней мере, опасаться нужно только троянов.

Шлюзы Dlink и Linksys (это только те, о которых мне известно) всегда принимают запросы INVITE на порту 5060, из-за чего инициировать звонок может любой «сомалиец», имеющий обыкновенный IP-телефон.

Единственной гарантией неприкосновенности телефонной линии может стать блокировка оператором исходящих звонков на определенные номера и направления.

А вот другая история (откуда я и узнал про данную ссылку)...

[zzuz]

Ну. Это видимо истории КЭПа)

[zzuz]

Но сказ про инвайты и возможности звонить - еще те сказки.

[zzuz]

Ага. Так и маскрируют админы свою криворукость)

[trscod]

Нужно просто быть достаточно жадным. Можно и за нат поставить и огрести. Вот, например, ADSL-мопеды TP-Link, видя что с определенного серого адреса ходит SIP трафик, почему-то любой входящий SIP трафик без раздумий направляют на этот адрес в серую сеть. В том числе и пиратский. Зачем...

[trscod]

А нафиг пользоваться быдлоадминами?

[trscod]

Ну лично я в подарок микротики не ставлю. А вот TP-Link в подарок от провайдера - это дешевле чем микротик за 1500 рублей.
ЗЫ: Причем здесь TP-Link, быдлоадмины и попадалово на миллионы? Читай выше: Надо просто быть достаточно жадным чтобы все собралось в кучу.

[trscod]

клиенты не возмущаются

Побольше бы таких клиентов

[tma]

А вообще нужно быть конченым кретином, чтобы выставить любой VoIP девайс наружу голой жопой.

Например в Германии повально ставят Fritz!Box и EasyBox -- и тот и другой являются роутерами и VoIP-девайсами, каждый получает
public IP сменяемый ежедневно по DHCP.

[Sfinx]

Тщательно проанализировав в свое время одну из прошивок Dlink давно сделал вывод что их поделки это типичная китайская срань с несколькими закладками/backdoor'ами внутри, ставить ее, IMHO, - это значит 100% отгрести в будущем. А надежный роутер при желании легко собирается руками на Epia или любом другом openwrt железе.