Unwanted calls TCP/1720

Problemy związane z Unified Communications
Wiadomość
Autor
zakrz
member
member
Posty: 38
Rejestracja: 03 gru 2013, 19:40

Unwanted calls TCP/1720

#1

#1 Post autor: zakrz »

Witam,

Nie znalazłem na tym forum to przynajmniej opiszę.
CISCO2851 2800nm-advipservicesk9-mz.124-15.T17.bin, CME4.1 i karta ISDN oraz zrobiony statyczny NAT dla urządzenia do wideokonferencji z otwartym portem TCP/1720

Kod: Zaznacz cały

ip nat inside source static A.B.C.D E.F.G.H route-map RM extendable
Od jakiegoś czasu zaczęły pojawiać się w logach CME połączenia na dziwne numery np:
-9010441227806181
-11119011441227806181
-123450011441227806181

Adres E.F.G.H nie jest adresem routera - jest adresem użytym tylko w konfiguracji NAT z puli dostępnej od operatora.

Myślałem, że problem stanowi tutaj dziura w oprogramowaniu urządzenia do wideokonferencji do którego jest otwarty port TCP/1720 - jednak chyba nie do końca. Kiedy urządzenie to jest fizycznie wyłączone to nadal takie niechciane połączenia następują. Jakiś bug w obsłudze NAT?
Dopiero blokada portu TCP/1720 rozwiązała sprawę.


Spotkał się ktoś z podobną sytuacją?
CCNA, CCNA Voice

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 400
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: Unwanted calls TCP/1720

#2

#2 Post autor: konradrz »

zakrz pisze:-9010441227806181
-11119011441227806181
-123450011441227806181
Off-topicznie trochę. Ktoś próbował z USA* dzwonić do UK, do Canterbury.
(+44 1227806181)

*w sensie, wybierał numery jak Hamerykanin. U nich właśnie często jest "9 na świat, potem 011".

zakrz
member
member
Posty: 38
Rejestracja: 03 gru 2013, 19:40

#3

#3 Post autor: zakrz »

To co nas spotkało to dokładnie nazywa się Toll-Fraud i to nie podlega żadnej dyskusji.
Nawet adresy IP źródłowe w większości pokrywały się z listą ze strony
http://www.videonationsltd.co.uk/2015/0 ... pam-calls/

Bardziej interesuje mnie:
Dlaczego "ktoś" uzyskał dostęp do routera (protokółu H.323) poprzez adres IP użyty w konfiguracji NAT (a nie przypisany do routera do żadnego jego interfesju) w momencie kiedy urządzenie wideokonferencyjne (dla którego jest ten NAT skonfigurowany) działa lub nie (jest wyłączone).

Na początku myślałem, że taka konfiguracja jest bezpieczna. Urządzenie ma adres wewnętrzny i jest włączane sporadycznie na czas wideokonferencji na kilka godzin. Adres publiczny jest natowany i ruch na port TCP/1720 puszczony dla wszystkich adresów. Skoro urządzenie jest wyłączone to taka konfiguracja nie powinna mieć żadnego wpływu na bezpieczeństwo - niestety. Dla mnie ta sytuacja jest bardzo ciekawa. Dlatego pytałem czy ktoś spotkał się z podobnym "włamaniem".
CCNA, CCNA Voice

Awatar użytkownika
nell
wannabe
wannabe
Posty: 193
Rejestracja: 10 maja 2009, 12:17

#4

#4 Post autor: nell »

Tak się dzieje, na ruterach Cisco trzeba blokować z zewnątrz aż cztery porty, a właściwie 6 portów biorąc pod uwagę UDP dla SIP

TCP/UDP 5060
TCP/UDP 5061
TCP 2000
TCP 1720

Podejrzewam, że ma to związek z ustawieniami, które się zwykle pojawiają w

Kod: Zaznacz cały

voip service voip
 allow-connections h323 to h323
 allow-connections h323 to sip
 allow-connections sip to h323
 allow-connections sip to sip
W best-practics call managera jest to szerzej opisane, generalnie na ruterze Cisco trzeba zdefiniować sobie dial-peery dla ruchu przychodzącego, gdyż jeśli tego nie zrobisz zostanie zastosowana tzw. default-dialpeer która słucha wszystkiego. Natomiast jeśli określisz dial-peery dla poszczególnych typów ruchu będziesz mógł taki ruch "wystrzelić w kosmos".

Oczywiście firewall załatwia sprawę - chociaż nie w pełni, gdyż po stronie sieci telefonicznej pewnie dalej porty będą odblokowane, zatem dalej będzie to podatność. Tutaj z pomocą przyjdzie voice-vlan oraz/lub access lista na poszczególne adresy IP telefonów, stałe rezerwacje DHCP, zmiana domyślnego poru CME, oraz w sekcji voice services voip sekcja ip address trusted list, a i firewall na porty niepotrzebne telefonom również.

W dalszej części tego dokumentu pisze także, aby nie stosować dialpeer np. 0T a lepiej - dokładniej określić dial-peery dla poszczególnych kierunków.

http://www.cisco.com/en/US/netsol/ns340 ... f8e30.html
[/code]

ODPOWIEDZ