Список доверенных адресов для голосовых шлюзов Cisco
Известно, что на голосовых шлюзах Cisco, есть (а точнее сказать была) уязвимость связанная с default dial-peer. О чем идет речь...
если злоумышленник
1) узнает ip адрес шлюза
2) он может послать на шлюз сообщение об установлении вызова (H323 SETUP, SIP INVITE),
также ему нужно знать порт протокола сигнализации (если он не стандартный). Первым делом он попробует стандартный.
Рекомендация!
По возможности, не используйте стандартные порты протоколов сигнализации
SIP = 5060
H323 = 1720
3) затем методом подбора определить план нумерации, а точнее международный формат набора принятый в компании.
Для Украины конфигурация шлюза может быть такой:
dial-peer voice 12 pots
destination-pattern 900T
port 0/0/0:15
prefix 00
description INTL
И в таком случае все было бы слишком просто для злоумышленника, но иногда в компании используется дополнительный префикс выхода на международную связь.
dial-peer voice 12 pots
destination-pattern 9*50500T
port 0/0/0:15
prefix 00
description INTL
Но ведь метод прямого перебора (bruteforce) никто не отменял. Можно написать программу, SIP клиент, которая будет пытаться "позвонить" перебирая разные номера, в конце концов найдет нужный формат набора (напр. злоумышленник из Лондона позвонит себе 9*50500442080985302) и готово! Международные звонки за чужой счет. Безусловно, если настроен межсетевой экран (firewall) злоумышленнику будет сложнее все это сделать.
Т.е. голосовой шлюз по-умолчанию доверяет звонкам с любых IP адресов. В версии IOS 15.1.2 ввели понятие списка доверенных адресов.
! Разрешены входящие звонки по SIP, H323 транкам только с адреса 10.1.250.101
voice service voip
ip address trusted list
ipv4 10.1.250.101
! Доверять всем адресам
voice service voip
ip address trusted list
ipv4 0.0.0.0 0.0.0.0
! Выключить механизм проверки доверенных IP адресов
voice service voip
no ip address trusted authenticate
direct-inward-dial
Речь пойдет о входящих pots dialpeer....
У Cisco шлюзов при входящих звонках из городской телефонной сети существуют два режима обработки вызова: DID и noDID. В первой случае шлюз принимает вызов, анализирует полученные цифры и маршрутизирует звонок. Во втором случае шлюз принимает вызов, не анализирует цифры и посылает гудок донабора -- это режим двухэтапного набора.
До IOS 15.1.2 режим работы по-умолчанию был "no DID". В этом IOS и новее по-умолчанию выбран режим одноэтапного набора (one-stage dialing). Хотя в настройках диалпиров, как это ни странно, я увидел "direct-inward-dial = disabled", а по факту шлюз получал SETUP и сразу маршрутизировал вызов.
Чтобы отменить изменения внесенные инженерами Cisco (вернуть режим "no DID" по-умолчанию) нужно воспользоваться командой
voice service pots
no direct-inward-dial isdn
Успешной конфигурации!
Доброго времени суток! Спасибо за труд. Полагаю, если sip-trunk с провайдером организован через логин/пароль, это защищает от подобных несанкционированных звонков?
ReplyDeleteИ Вам спасибо за посещение) Да, верно -- если настроена SIP аутентификация у злоумышленника практически не будет шансов.
ReplyDeleteНе подскажете как можно настроить черный список на входящие звонки на шлюзу AS5350?
ReplyDeletevoice translation-rule 42
rule 1 reject /38066ХХХХ/
voice translation-profile BLOCK
translate calling 42
dial-peer voice 1002 pots
call-block translation-profile incoming BLOCK
call-block disconnect-cause incoming call-reject
Все равно звонки приходят с 38066ХХХХ в чем косяк приходят на мои городские номера
Подскажите пожалуйста не проходите мимо
Для начала убедитесь что именно dial-peer 1002 выбирается как входящий с помощью команды
ReplyDeletedebug voice ccapi inout
Какой у Вас IOS?
Cisco IOS Software, 5350 Software (C5350-JK9S-M), Version 12.4(13b), RELEASE SOFTWARE (fc3)
ReplyDeleterule 1 reject /38066ХХХХ$/
ReplyDeleteПоставь знак $ и должно заработать.