Тема: Интересные вещи творятся на TDE
Привет, коллеги!
Начну немного издалека.
Установили мы себе в офисе сначала TEM824, затем TDA100, потом проапгрейдили до TDE100. Город нам изначально подавался по SIP посредством SIP-шлюзов (эдакий зоопарк из Linksys, D-Link и Grandstream.
Недавно установил DSP16 + 4104, и как положено завел все номера через V-SIPGW. Используем DISA. Ранее ее тоже использовали.
Станция находится в нашей локальной сети за NAT.
Ранее SIP-шлюзы находились во внутренней сети провайдера.
Не далее как в прошлую среду наблюдаю такую картину: занимаются все SIP-транки, через некоторое время освобождаются. И так постоянно.
В станции была установлена еще V-SIPEXT. Порт был назначен 35060. SIP-EXT не использовался.
Удалил данную плату, сохранился, ребутнулся. Все тоже самое. Занимаются все SIP-транки.
Смотрю логи Kerio, с нашей АТС (а именно с IP DSP16) в логах высвечивается скан-портов на SIP-сервер провайдера. затем на IP-адрес в далекой Палестине. При проверке обнаруживаем на той стороне дохленький маршрутизатор TP-Link. Немного манипуляций. Маршрутизатор исчезает, думаю обнаружили сканирование и закрылись наглухо.
Идем далее, устанавливаем на все СО и SIP-транки COS7. Теперь вызовы “падают” частично на меня, как на оператора, беру трубку, а там абсолютная тишина. ПРи входящем вызове отображается номер 100 и 400. Наблюдаем за линиями, быстро перехватываем поступивший вызов и слышим дальнейший DTMF-набор. Транки занимаются и тут же освобождаются.
ВОзникло подозрение, что вызовы поступают через SIP-провайдера. Сегодня попросил проверить, по их данным в это время вообще не было ни одного внешнего вызова на наши номера.
Повторюсь:АТС находится за NAT, файрволом. Версии ПО самые последние. Все порты нестандартные, кроме 5060 на V-SIPGW.
Вопрос: у кого-то встречалось подобное?
Скорее всего на маршрутизаторе порт 5060 проброшен на TDE. И разрешен сей проброс не только для айпишников провайдера, а для кого угодно.
Или из провайдерского персонала кто-то хитро...сделанный. И такое было.
Дмитрий, о пободном упоменалось здесь
Кто-нибудь проверял?
Приципился не санкционировано по SIP к одной из своих TDE подключенных к SIPNET. Использовал для этого KX-NCP.
Результат следующий, транзит будет только при совпадении следующих условий:
1. распределение с линий SIP по DDI,
2. COS SIP транка позволяет выход во внешний мир,
3. Local Access установлен стандартный, то есть известен взломщику.P.S. Ну, и конечно нужно знать порт, через который подключаться.
Скорее всего на маршрутизаторе порт 5060 проброшен на TDE. И разрешен сей проброс не только для айпишников провайдера, а для кого угодно.
Пока да, т.к. АТС подопытная лошадка. Тестируем разных операторов, поэтому не сделали узкий мсотик со своим опеатором.
Получаетя, Владимир, мы светимся своей попой 5060 в инет, туда и пытаются заломиться?
Надо записать себе на подкорку. Взломать то не вломали, не ничего приятного в этом сексе нет.
Дмитрий, о пободном упоменалось здесь
Кто-нибудь проверял?
Приципился не санкционировано по SIP к одной из своих TDE подключенных к SIPNET. Использовал для этого KX-NCP.
Результат следующий, транзит будет только при совпадении следующих условий:
1. распределение с линий SIP по DDI,
2. COS SIP транка позволяет выход во внешний мир,
3. Local Access установлен стандартный, то есть известен взломщику.P.S. Ну, и конечно нужно знать порт, через который подключаться.
Спасибо, Михаил 😊, как-то не проследил эту тему до конца.
Условия у нас не совпадают, п. 1 переведу в DIL 😊 еще. Посмотрю, что будет далее.
В принципе, это то самое подключение без регистрации, с которым мы в свое время с Вами и разбирались.
Поменял клиентский порт на SIPGW. Хотя пров говорил, что работают исключительно с 5060. Все завелось и пока работает.
Казалось бы 3 условия должны совпадать.... А ведь не такая же это и редкость. И пошел транзитом трафик чреез АТС, в ночное время 😊 .
Условия условиями, но мне почему-то кажется, что при регистрации на сервера провайдера ломануться с постороннего адреса на SIP-порт, который находится в INS-е получаться как бы не.. трудновато, мне так кажется.. Может быть я не прав? кто знает, поделитесь сокровенным.
Условия условиями, но мне почему-то кажется, что при регистрации на сервера провайдера ломануться с постороннего адреса на SIP-порт, который находится в INS-е получаться как бы не.. трудновато, мне так кажется.. Может быть я не прав? кто знает, поделитесь сокровенным.
Александр, ну к нам же ломятся. И ничего им в этом не мешает. Временно приоткрыл форточку, пусть еще поломятся под моим пристальным присмотром 😊. Хочу отследить входящие подключения.
Поменял клиентский порт на SIPGW. Хотя пров говорил, что работают исключительно с 5060. Все завелось и пока работает.
Казалось бы 3 условия должны совпадать.... А ведь не такая же это и редкость. И пошел транзитом трафик чреез АТС, в ночное время 😊 .
у Вас порт Source , у провайдера порт Destination . На значение Вашего Source провайдеру начхать, уверяю. А они , действительно держут Destination 5060 . Условия для “порабощения” АТС очень легковыполнимы. Просто с открытыми COSами Вам светит счет от прова , а с закрытыми - доступен только набор внутренних портов и функций.
Условия условиями, но мне почему-то кажется, что при регистрации на сервера провайдера ломануться с постороннего адреса на SIP-порт, который находится в INS-е получаться как бы не.. трудновато, мне так кажется.. Может быть я не прав? кто знает, поделитесь сокровенным.
Саш, если в TDE стоит плата V-SIPGW (подозреваю, что даже регистрация у прова необязательна) и КОС этих транков допускает внешние вызовы, то жди счет. Можно “потестить” желающих.
Поменял клиентский порт на SIPGW. Хотя пров говорил, что работают исключительно с 5060. Все завелось и пока работает.
Казалось бы 3 условия должны совпадать.... А ведь не такая же это и редкость. И пошел транзитом трафик чреез АТС, в ночное время 😊 .у Вас порт Source , у провайдера порт Destination . На значение Вашего Source провайдеру начхать, уверяю. А они , действительно держут Destination 5060 . Условия для “порабощения” АТС очень легковыполнимы. Просто с открытыми COSами Вам светит счет от прова , а с закрытыми - доступен только набор внутренних портов и функций.
Да я не великий спец по SIP. Слушаю, что они мне говорят. Со своей стороны перекрываю все входы в нашу сеть, насколько это возможно. Сейчас оставил приоткрытую дверь, сижу и тихо наблюдаю.
И кто желает 😉?
COS, ы то... понятно, что все закрывают эту дыру.
Мне счет не нужен, но могу посодействовать в экспериментах 😊 .
Кста, завтра подцеплюсь к TDE с NCP, как Михаил делал. Посмотрю, что будет происходить, верю ему на слово, но хочется самому попробовать.
... сижу и тихо наблюдаю.
Засеки координаты, мой племяш все еще целит ракетой в Палестину :coolcheese:
Да я не великий спец по SIP. Слушаю, что они мне говорят.
Дим, тут IP протокол работает, отвечающий за маршрутизацию пакетов. Ты своим портом всего лишь сообщаешь один из параметров своего обратного адреса.
Денис, верю 😊. Надо плотно изучать SIP и экспериментировать. Все больше таких подключений будет. Наш Главтелеком всех подсаживает на SIP, да и остальные не отстают. Все провайдеры стахановскими темпами внедряют SIP, привлекая клиентов невысокой стоимостью подключения, абонплаты и тарифов на межгород.
Просто ранее практиковались SIP-шлюзы и стыки с имеющимися АТС по аналогу. Сейчас все больше прямых подключений IP-АТС по SIP.
Скорее всего на маршрутизаторе порт 5060 проброшен на TDE. И разрешен сей проброс не только для айпишников провайдера, а для кого угодно.
Пока да, т.к. АТС подопытная лошадка. Тестируем разных операторов, поэтому не сделали узкий мсотик со своим опеатором.
Получаетя, Владимир, мы светимся своей попой 5060 в инет, туда и пытаются заломиться?
Так и получается. Если Вы цепляетесь с регистрацией, то порт 5060 можно не пробрасывать ВООБЩЕ. У меня 2 провайдера так работает, в т.ч. родной телеком.
