Добрый вечер!
У клиента установлена АТС yeastar mypbx SOHO. Ставили 2 года назад. Межгород МТТ по SIP.
Сеть организована на 2 филиала. В центральном узле и филиалах установлены маршрутизаторы микротик и объеденены по VPN. Удаленные (2) сотрудники цепляются шлюзами TAU 2.IP по VPN к микротику. Прямой внешний доступ закрыт! Только по VPN через микротик.
Утром оказалось, что межгород заблокирован по нехватке финансов. По статистике АТС звонки с внутренних номеров (с 3-х) в 23.00 - 24.00 в Боснию и Герцеговину.
По безопасности конечно немного схалтурил. Пароли на них одинаковые (5 телефонов), но 8 знаков цифры и буквы. Fail2Ban не включал на yeastar. Но АТС у меня за NAT и никак на прямую во внешний мир не смотрит. Порты не проброшены, WEB только изнутри. Как поломали? Вирус на ПК? Yeastar ип не пишет в статистике и на микротиках лог мало хранится - ничего уже нет. Всегда думал спрятать за NAT один из самых надежных способов защиты...
Пароли конечно поменяю, fail2ban включи. В диалплане подробнее пропишу разрешенные маршруты, но факт непонимания, как и что, а самое главное откуда! сломали, не дает покоя.
Взлом, yeastar за NAT
Re: Взлом, yeastar за NAT
Ну вы эе нам расскажит5?
Можите у разработчиков поинтересоватся
Можите у разработчиков поинтересоватся
Своими вопросами , вы загоняете меня в ГУГЛЬ.
Re: Взлом, yeastar за NAT
Обязательно поинтересуюсь. Только это до понедельника, да и на ответ особо не рассчитываю.
fail2ban все таки включен был...
Если узнаю, как сломали, отпишу обязательно. Но пока идей 0.
fail2ban все таки включен был...
Если узнаю, как сломали, отпишу обязательно. Но пока идей 0.
Re: Взлом, yeastar за NAT
Знаю 101 способ накосячить в настройках микротика.
Re: Взлом, yeastar за NAT
Могли получить прямой доступ к порту 5060 на АТС?
Сейчас нашел, что доступ к одному из микротиков взломан (но yeastar находится не за ним). Подобран пароль. Пока оставил. Логирование на АТС включил, посмотрю, с какого места будут пытаться подключаться (финансовая блокировка со стороны провайдера все равно включена, да и звонки МНиМГ пустил в пустой транк). Каждую ночь пробуют. 5 звонков не проходит, отключаются.
А что можно накосячить в микротике, чтобы получили прямой доступ к станции? Приведите хоть несколько ошибок. Взломали микротик, надо еще просканировать всю сеть, найти, что там есть SIP станции, её ломануть...
Сейчас нашел, что доступ к одному из микротиков взломан (но yeastar находится не за ним). Подобран пароль. Пока оставил. Логирование на АТС включил, посмотрю, с какого места будут пытаться подключаться (финансовая блокировка со стороны провайдера все равно включена, да и звонки МНиМГ пустил в пустой транк). Каждую ночь пробуют. 5 звонков не проходит, отключаются.
А что можно накосячить в микротике, чтобы получили прямой доступ к станции? Приведите хоть несколько ошибок. Взломали микротик, надо еще просканировать всю сеть, найти, что там есть SIP станции, её ломануть...
Re: Взлом, yeastar за NAT
На микротике - по умолчанию блокирующее правило есть но , правило на блокировку с сети WAN интерфейсу когда там ip адресс
когда вы поднимаете например на микротике PPoE - интерфейс WAN становится другим и всё ...
здравствуй торчащий наружу telnet ssh - и только вопрос времени когда подберут пароль если он до 6 символов
Надо было всего - регулярно смотреть логи на микротик, и при наличии перебора паролей сделай необходимое.
PS в своё время - специально стали собирать логи со всех микротиков в одно место у себя.
Что бы местные админы не делали финт ушами - я нечего не трогал оно само сломалось ( и логи потерлись заодно)
когда вы поднимаете например на микротике PPoE - интерфейс WAN становится другим и всё ...
здравствуй торчащий наружу telnet ssh - и только вопрос времени когда подберут пароль если он до 6 символов
Надо было всего - регулярно смотреть логи на микротик, и при наличии перебора паролей сделай необходимое.
PS в своё время - специально стали собирать логи со всех микротиков в одно место у себя.
Что бы местные админы не делали финт ушами - я нечего не трогал оно само сломалось ( и логи потерлись заодно)
платный суппорт по мере возможностей
Re: Взлом, yeastar за NAT
Ну понятно, что закрыть надо. Мы их не обслуживали, поэтому и не мониторили.
Если ломают целенаправленно, чтобы получить доступ к станции, зная, что она там есть, то да! Вопросов нет.
Но как правило эти переборы паролей по ssh идут в автоматическом режиме по "всем подряд". Получили доступ к микротику.
Но к АТС прямого доступа все равно не было. Пробросов никаких на роутере новых не появилось. Если только за собой не закрыли. Как можно совершать звонки по ssh с микротика? Нет понимания процесса получения доступа. Откуда защищаться? Сломали получается 4 числа ночью. Днем заходил на станцию, предупреждений, что были попытки подбора паролей - не было. Быстро пароль нашли. все таки 8 знаков (цифры, прописные и заглавные буквы)
Может какой троян/ вирус на ПК? Я до этого с ними не сталкивался, да и в интернете про это ничего не нашел. Или по TeamViewer заходят)) Через web интерфейсу пароли посмотреть можно.
Сегодня ночью уже не ломают(( Звонки не проходят, отлипли наверно(
Если ломают целенаправленно, чтобы получить доступ к станции, зная, что она там есть, то да! Вопросов нет.
Но как правило эти переборы паролей по ssh идут в автоматическом режиме по "всем подряд". Получили доступ к микротику.
Но к АТС прямого доступа все равно не было. Пробросов никаких на роутере новых не появилось. Если только за собой не закрыли. Как можно совершать звонки по ssh с микротика? Нет понимания процесса получения доступа. Откуда защищаться? Сломали получается 4 числа ночью. Днем заходил на станцию, предупреждений, что были попытки подбора паролей - не было. Быстро пароль нашли. все таки 8 знаков (цифры, прописные и заглавные буквы)
Может какой троян/ вирус на ПК? Я до этого с ними не сталкивался, да и в интернете про это ничего не нашел. Или по TeamViewer заходят)) Через web интерфейсу пароли посмотреть можно.
Сегодня ночью уже не ломают(( Звонки не проходят, отлипли наверно(
Re: Взлом, yeastar за NAT
Глянуть настройки Микротик не плохо, если есть такая возможность пишите в л/с.
На самом деле в Микротике без явных ошибок в настройке таких проблем быть не должно в Цирке был баг с подменой адреса в НАТ.
И хотелось бы больше информации про клиенские Тау на них был белый адрес + VPN.
На самом деле в Микротике без явных ошибок в настройке таких проблем быть не должно в Цирке был баг с подменой адреса в НАТ.
И хотелось бы больше информации про клиенские Тау на них был белый адрес + VPN.
Re: Взлом, yeastar за NAT
Пароли и логины ходят в открытую если не tls. Так что ищите снифера в локалке. Телефонию в отдельный vlan запихните, включите acl. И еще, nat не является защитой, изнутри соединения же разрешены, так что построить тунель пару минут.Roma_N писал(а):Днем заходил на станцию, предупреждений, что были попытки подбора паролей - не было. Быстро пароль нашли. все таки 8 знаков (цифры, прописные и заглавные буквы)
Может какой троян/ вирус на ПК?
Re: Взлом, yeastar за NAT
yeastar разве OpenSource? могут намутить многое)))
Российские E1 шлюзы Alvis. Модернизация УПАТС с E1,Подключение к ИС "Антифрод" E1 PRI/SS#7 УВР Телестор, Грифин и др..
