ich leide unter SIP Hackversuche. Und zwar ruft in 20 Sekundentakt jemand mit der Telefonnummer 1000, 1001 und 800 an. Wenn man abhebt ist keiner in der Leitung.
Nach Recherche im Internet fand ich heraus, dass das ein typischer Angriff gegen SIP ist.
Diese Angriffe erfolgen rund um die Uhr, teilweise mitten in der Nacht. Sehr unangenehm wenn die ganze Familie dadurch wach wird.
Gibt es eine Möglichkeit diese Angriffe abzuwehren?
Ich habe auch noch nicht verstanden wie der Angriff funktioniert.
Die 5020VOIP hält einen Port nach draußen offen. Allerdings geht diese Verbindung nur zu einer Ziel-IP. Wie kann ein Angreifer diesen NAT-Tunnel übernehmen und so das Telefon zum klingeln bringen?
Ich würde als Lösung eine gute Firewall vorschlagen.
Überleg dir wer bei dir per SIP reinkommen soll. Wenn du dann zu dem Ergebnis kommst das es nur Gegenstellen aus sehr wenigen Netzen (eventuell ja sogar nur dein SIP Provider) ist, dann sperre SIP bis auf aus den Netzen.
Bei mir in der Firma sind es zuviele erlaubte Gegenstellen, da hab ich das ganze andersrum gemacht, ich hab Verbindungen (alle Ports und alle Protokolle) von IP Adressen aus bestimmten Ländern gesperrt. Jetzt können zwar 99% aller Chinesen nicht mehr auf unsere Hompage und uns keine E-Mail mehr schicken, da wir aber nur in Europa aktiv sind können wir damit leben und freuen uns das die meisten Angriffsversuche frühzeitig blockiert werden.
Ich bin mir sicher wenn du deine Firewall Logs untersuchst wirst du feststellen das die meisten Anrufe aus bestimmten geografischen Regionen kommen und wenn du dann dort keinen Onkel oder so hast, dann kannst du die ja einfach blockieren.
welcher externe Port wurde auf die TK-Anlage umgeleitet? (5060 sollte auf keinen Fall verwendet werden, im Normalfall wird gar keine Portweiterleitung benötigt, es sei denn man ist bei1&1 oder möchte Außenliegende Nebenstellen anbinden (unsicher)
vielen Dank für die Kommentare.
Mein Problem ist, dass mein Unternehmen weltweit tätig ist. Wir haben Lieferanten aus der ganzen Welt. Vorwiegend aus Asien.
Den Port macht die Auerswald ja selbst mittels NAT-Traversal auf.
Ich habe heute den eingehenden Port von 5063 auf 5066 geändert. Zumindest heute lief kein weiterer Versuch auf.
Evtl. überlege ich mir einen völlig anderen Port zu verwenden. Hat jemand einen Vorschlag? Ich denke SIPGATE ist es egal welchen Port man verwendet?
Kennt jemand den IP-Adressraum von SIPGATE? Dann lasse ich den nur noch durch die Firewall zur Auerswald.
Bei uns läuft alles unter Cisco. Wir haben verschiedene DMZs, VLANs und viele VPNs für meine externe Mitarbeiter.
Die Mitarbeiter greifen nur via VPN auf die internen Server zu. Nach außen ist nur Email - Server, Adressbuch und Kalenderserver offen. Bzw. den von der 5020 via NAT-Transversal offen gehaltene Verbindung.
Selbst STUN habe ich abgeschaltet.
Auf der Auerswald 5020VOIP ist die aktuelle Firmware drauf, die aktualisiert sich alle 12 Wochen selbst.
Diese SIP Nummer verwende nur ich. Damit bin ich weltweit erreichbar.
ich vermute, dass irgendeine Firewall Regel (Port 5060) einen Zugriff vom Internet auf
Deine Anlage weiterleitet. Wie sich das bei explizit nennt Portforwarding, DNAT oder
sonstwie hängt vom Firewallhersteller ab.
Ich persönlich würde versuchen für derartige Zwecke eine VPN Verbindung in Deine
Firma zu nutzen / einzurichten. Wenn bei Dir nur die Telefone klingeln ist das vielleicht
lustig, richtig ärgerlich wird es, wenn die Burschen versuchen über Deinen Account
zu telefonieren. Ich kann mich noch gut an meine ersten Asterisk Versuche mit öffent-
licher IP (wer kennt die denn schon … ) erinnern und zahlreiche Gespäche nach
Kuba (3,60 pro Minute), Estland usw. geführt worden sind … Gottseidank war dies
ein Sipgate Prepaid Account. Ich habs gemerkt nach 3-4 mal “nachladen” innerhalb
von paar Tagen mit 25 Euro. Gab andere Fälle (kann man googeln) das stehen die
Leute mit ein paar Tausend Euro bei ihren Telefonanbietern in der Kreide!
Soviel kannst gar nicht sparen, wei bei der Nummer schief gehen kann.
Deshalb nur per VPN … Zumal wenn Du die Infrastruktur schon in der Firma hast.
Hallo Michael,
auf dem Account sind genau 0 Euro. Es gibt auch keine Kreditkarte die hinterlegt ist.
Ich verwende den SIP Account absolut im kostenlosen Modus. Die Gespräche werden nämlich von der Auerswald auf die SIP Nummer geroutet und diese habe ich dann auf einem Notebook oder Smartphone am laufen wenn ich unterwegs bin.
Manche rufen direkt auf diese Nummer an, deshalb sollte eben die Einwahl von außen nach Innen auch gehen wenn ich zuhause bin.
Laut Firewall ist nur der 5066 von außen nach innen offen.
Wie sieht denn so ein Hack aus?
Die müssen doch in die Auerswald einbrechen, damit sie telefonieren können?
Sämtliche Ports wie 80 usw sind alle hinter der Firewall und nur per VPN zu erreichen.
Seitdem ich den Port auf 5066 gestellt habe, ist derzeit Ruhe.
Wie sind die bei Dir in die Asterisk rein gekommen?
Wenn ich verstehe wie dieser Hack funktioniert, kann ich mir auch Gegenmaßnahmen ausdenken.
Im Moment können sie maximal die Telefone klingeln lassen. Aber wie wählen die eine Nummer über diesen SIP Account?
Oder versuchen die über die Festnetz - Leitung weiter zu telefonieren? Dann müssten sie ja die Auerswald fernsteuern. Ich wüsste nicht wie ich bei einem Anruf die Auerswald dazu überreden kann eine andere Verbindung über ISDN aufzubauen. An das Webinterface von der Auerswald kommen sie nicht. Außerdem ist das mit einem echten PW gesichert.
Wie gesagt, ich verstehe den Hack nicht.
Die SIP Nummer hat zumindest kein Kapital und kann auch nicht aufgeladen werden.
Gruß Marty
auf IP-Ebene kann ich Dir erklären, wie so ein Hack funktioniert. Das ist ein grundsätzliches Problem des für SIP verwendeten UDP-Protokolls. Die Anlage registriert sich bei Sipgate und gibt dem Registrar von Sipgate den Antwortport (bei Dir ursprünglich) 5063 an. Damit ist in Deinem NAT-Router ein “quasi Portforwarding” von außen auf den Port UDP-5063 der Anlage geöffnet.
Das dumme bei UDP - im Gegensatz zu TCP - ist nun, dass bei UDP die Absende-IP ignoriert wird. Mit anderen Worten - JEDER, der Deine öffentliche IP mit dem “offenen” Port UDP-5063 gefunden hat, kann Dir nun Pakete schicken - also auch SIP-Invites. Nun wird halt probiert, was man da alles durchschicken kann. Ab und an wird ein Treffer in Form eines klingelnden internen Telefons gelandet… der dümmste Fall wäre, wenn so ein Call-Through gestartet werden könnte…
Die einzige Chance, die Du letztlich hast wäre in der Firewall für dieses NAT auf dem UDP-Port nur Absende-IPs von Sipgate zuzulassen.
Die FritzBoxen z.B. erlauben deshalb von sich aus nur Pakete von der Absende-IP, auf der sich registriert wurde. Dafür brauchen sie etwas Intelligenz. Bei 1und1 führt das wiederum zu anderen Problemen, da deren Server - dank Lastverteilung - immer wieder von anderen IPs antworten. Da muss man dann deren komplette IP-Bereiche zulassen.
Das Schlagwort zum googeln nennt sich “UDP hole punching”.
Hoffe das trägt etwas zum Verständnis bei…
Gruß Dauerbesetzt
Noch kurz dazu - ich glaube das Problem verschärft sich im Moment mit den IP-Anschlüssen der Telekom.
Grund:
U.a. weil die Telekom nun die Telefonie über die Internet-DSL-Verbindung schickt, wurde die 24h-Zwangstrennung abgeschafft.
Damit hat man praktisch beliebig lange die selbe öffentliche IP-Adresse. So können solche Angreifer beliebig ausführlich auf der einmal gefundenen Port-IP-Kombination herumprobieren.
Zu Zeiten der Zwangstrennung bekam man alle 24h eine neue IP und war zumindest bis zum nächsten (zufälligen) Fund aus dem Fokus des Angreifers…
Da es um einen registrierten SIP-Account geht wäre die einfachste Lösung, auch nur registrierte Anrufe, d.h. Anrufe die über Sipgate reinkommen, zuzulassen. Ich wundere mich, dass das bei der 5020 überhaupt so möglich ist.
Das ist ja aber genau das Haar in der Suppe … Welche sind denn die Anrufe von Sipgate? Woran erkennt man die? Dafür müsste die Anlage die IPs von Sipgate kennen (Davon abgesehen, dass sich die Absende-IP auch fälschen lässt). In den Paketen, die ankommen steht dazu nichts drin, bzw. kann da ja jeder reinschreiben, dass er Sipgate sei.
Ich kenne diese Problematik von 1und1. Dort wird ja immer empfohlen hinter FritzBoxen ein Portforwarding auf den für 1und1 verwendeten UDP-Port auf die Anlagen einzurichten. Warum wohl? Genau … um den Schutzmechanismus der FritzBoxen „zu überlisten“, weil - wie oben geschrieben - 1und1 selbst schon von verschiedenen IPs kommt - und nicht nur von der, bei der man sich registriert hat. Das Fehlerbild ist andernfalls, dass „manchmal eingehende Rufe funktionieren und manchmal nicht“.
Schöne neue Internettelefonie … sag ich da bloß…
Gruß Dauerbesetzt
PS: Meiner Meinung nach wäre die richtige Lösung dazu ausschließlich SIPs zum Provider zu sprechen - und zwar mit Providerzertifikaten. Damit wäre eine Authentisierung der ankommenden Pakete möglich … aber welcher Provider macht das schon? Die Telekom z.B. nicht … träum … (nunja … wenigstens TCP statt UDP wäre schon ein Schritt in die richtige Richtung)
ich habe noch eine Verständnisfrage:
Eine SIP Verbindung besteht aus zwei Datenströme, die Signalisierung auf 5060 zwischen der 5020 und SIPGATE und die UDP Verbindung vom Gespräch zischen der 5020 und dem Telefonpartner.
Nach meinem Kenntnisstand wird die UDP Verbindung zwischen den beiden Endgeräten (=„Telefone“) aufgebaut.
Wenn ich nun den IP Adressraum auf SIPGATE einschränke, muss ja die UDP Verbindung auch über den SIPGATE Server laufen?!
Ich dachte immer die UDP Verbindung ist nur zwischen den Endgeräten und nicht über den SIPGATE Server geroutet. Da SIP unverschlüsselt ist könnte so SIPGATE jedes Gespräch überwachen. Außerdem müssten die einen extremen Datenstrom verarbeiten. Jedes Gespräch ist ja jeweils ein in/out UDP Datenstrom.
Übrigens hier die offiziellen IPs von SIPGATE:
Aktuell (20.11.2014) werden nachfolgende IP-Ranges bei sipgate verwendet:
217.10.64.0/20
217.116.112.0/20
212.9.32.0/19
Audiodaten werden von mehreren Systemen innerhalb der drei oben
genannten Netze verarbeitet. Dabei verwenden unsere Systeme immer Ports
aus dem Bereich 15000-30000. Das Transportprotokoll ist jeweils UDP
(nicht TCP).
Für die Signalisierung (SIP) werden ausschließlich folgende IPs verwendet:
Aufbau der UDP-Verbindung zwischen den Teilnehmern ist der Idealfall. In der Regel läuft diese Verbindung auch über den Provider.
Was mich allerdings nach wie vor wundert ist, dass die Endgeräte bei einem Direktruf auf IP:Port kingeln. Bei den mir bekannten Auerswaldanalagen klingelt es nur, wenn auch eine MSN angesprochen wird. Der Angreifer müsste also IP:Port und eine zum Anschluß gehörende MSN kennen.
@Marty:
Zum Verständnis - Was Du schreibst ist nicht ganz falsch, aber auch nicht richtig.
Also die „SIP-Verbindung“ besteht aus EINER Verbindung.
Mit ihr ist es möglich - im Falle eines Gespräches - die Daten einer RTP-Verbindung auszuhandeln. RTP ist das Protokoll, dass die Sprachpakete (oder auch Video…) transportiert.
Beide Protokolle können per UDP oder per TCP übertragen werden. Bei UDP ist das Verhältnis von Nutzlast zu Verwaltungsmenge wesentlich günstiger als bei TCP, dafür gibt es aber z.B. auch o.g. Nachteile…
Ob die RTP-Daten nun über den Provider geschickt werden, oder direkt zum Ziel, wird eben über SIP ausgeknobelt. Normalerweise laufen sie aber über den Provider - wie jorollo schon schrieb. (Schon allein, weil sie sich dort zentral besser abhören lassen … aber psssssst )
Gruß Dauerbesetzt
PS: Scheinbar führt das Eintragen der zweiten Fake-MSN (laut Auerswald-Service) dazu, dass die MSN überhaupt geprüft wird. Bei einer einzigen möglichen fällt diese Prüfung offensichtlich flach…
Ahhh, Danke. Jetzt ist mir das auch klar. Mich hat es schon gewundert woher die meine Nummer haben.
Ich mache nun am Cisco Router und ASA Firewall die Schotten dicht. Nur noch SIPGATE IPs dürfen durch. Ich hoffe das reicht dann, oder kann man die UDP Pakete auch faken?
Jetzt verstehe ich auch warum die Telekom und M-Net das ganze Voice Zeug in einem VLAN haben. Damit gibt es wenigstens eine Trennung zum „bösen Internet“.
Eure Beiträge helfen mir das Thema besser zu verstehen. Vielen Dank dafür!
Das kann man zwar faken, allerdings glaube ich, dass das ein sehr unwahrscheinlicher Angriff ist.
In Deinem Fall gehe ich davon aus, dass einfach zufällig Deine IP-/Port-Kombination per Portscan gefunden wurde und dann herausgefunden wurde (wahrscheinlich aufgrund der Nähe zum Port 5060), dass da etwas auf SIP-Pakete antwortet.
Die Angreifer wussten wahrscheinlich noch nicht mal, dass es sich da um eine SIP-Registrierung zu Sipgate handelte … sowas läuft komplett automatisiert.
Zum Thema VLAN - bei der Telekom weiß ich, dass die alles über die normale Internetverbindung schicken. Da ist nix in VLANs gekapselt. Ich vermute aber - ohne es zu wissen - dass die auf ihrer Seite solche Angriffe filtern. Zumindest könnten sie’s. Immerhin sind deren Accounts ja an einen DSL-Anschluss gebunden - und deren Firewalls könnten solche gefälschten Pakete finden. Dann natürlich auch nur für Telekom-Accounts. Sipgate-Accounts beachten die mit Sicherheit nicht…
ich habe einen FTTH 100 Mbit/s down und 20 Mbit/s up Anschluss von einem lokalen Netzbetreiber. Die Telefone laufen noch über ISDN von der Telekom und M-Net. Wir haben einige feste v4 IPs und eine variable v6 die ich aber nicht nutze. Die v6 könnte ich auch als feste IP haben, sehe aber noch nicht die Notwendigkeit.
Mal sehen wann die Telekom die Geschäftskunden auf VOIP zwingt. Wir versenden sehr viele FAXe zu Behörden, da bin ich froh, dass das noch mit 33k läuft.
Der M-Net - Anschluss ist auch noch ein ISDN Business - Anschluss.
Der Wechsel wird sowieso länger dauern, via ADSL kommen hier nur 2 Mbit/s an, deshalb hat die Gemeinde ein eigenes FTTH Netz gebaut. Würde ich nicht mehr hergeben wollen
) erinnern und zahlreiche Gespäche nach
)
