Angriffe auf Asterisk-Server

[kombjuder]

Hallo,

übers Wochenene wurde versucht über mehrere der von mir betreuten Asterisk-Server 0900er Rufnummern anzurufen.
Die Anrufe liefen über SIP auf den gast-User, bzw den Passwortfreien ENUM-Zugang.

Also dringend prüfen, ob das Loch auf den eigenen Servern dicht ist.

 

[Timmbo]

Hi Kombjuder,

wie meinst du das "Gast-Zugang" bzw. ENUM frei?

Thx
Timm

 

[Thomas007]

stimmt,
ist die gleiche Nummer wie damals
http://www.ip-phone-forum.de/archive/index.php/t-138960.html

IP kommt aus Spanien

 

[kombjuder]

Hi Kombjuder,

wie meinst du das "Gast-Zugang" bzw. ENUM frei?

Wenn du unter general in der sip.conf einen Eintrag hast wie z.B. context=default oder dir einen Zugang eingerichtet hast, über den Anrufe ohne Passwort reinkommen können, darf es in diesen Kontexten keinen Zugang zu einem Kontext geben, mit dem man rausrufen kann. Wie in dem Beispiel:

[default]
include => lokal
include => festnetz_out
include => sip_out

Ich wähle dann z.B 0172123456@deine ip, dann zahlst du meine Handy-Anrufe.
Richtig teuer wird es, wenn das Festnetz eingebunden ist und ich 0900 anrufen kann.

 

[kombjuder]

IP kommt aus Spanien

Dann weiss der der Anruft uU gar nicht was er macht, den 0900 ist in Spanien das was bei uns 0800 ist, also kostenlos.

 

[merkc]

auch bei war einer aktiv !!!!

; -- Executing [s@office-incoming-call:1] NoOp("SIP/29186-08275158", "SIP_HEADER(TO): <sip:[email protected]>") in new stack
; -- Executing [s@office-incoming-call:2] NoOp("SIP/29186-08275158", "SIPCALLID: [email protected]") in new stack
; -- Executing [s@office-incoming-call:3] NoOp("SIP/29186-08275158", "SIPUSERAGENT: release 1105c") in new stack
; -- Executing [s@office-incoming-call:4] NoOp("SIP/29186-08275158", "CALLINGPRES: 0") in new stack
; -- Executing [s@office-incoming-call:5] NoOp("SIP/29186-08275158", "DNID: ") in new stack
; -- Executing [s@office-incoming-call:6] NoOp("SIP/29186-08275158", "RDNIS: ") in new stack
; -- Executing [s@office-incoming-call:7] NoOp("SIP/29186-08275158", "CALLERID(ANI): 300") in new stack
; -- Executing [s@office-incoming-call:8] NoOp("SIP/29186-08275158", "CALLERID(DNID): 09003101042") in new stack
; -- Executing [s@office-incoming-call:9] NoOp("SIP/29186-08275158", "CALLERID(RDNIS): ") in new stack
; -- Executing [s@office-incoming-call:10] ExecIf("SIP/29186-08275158", "0|Set|from-number=00") in new stack
; -- Executing [s@office-incoming-call:11] ExecIf("SIP/29186-08275158", "0|Set|in-number=0009003101042") in new stack
; -- Executing [s@office-incoming-call:12] NoOp("SIP/29186-08275158", "CALLERID(all): "jean smith" <300>") in new stack
; -- Executing [s@office-incoming-call:13] NoOp("SIP/29186-08275158", "SIP_HEADER(TO): 09003101042") in new stack
; -- Executing [s@office-incoming-call:14] Set("SIP/29186-08275158", "CALLERID(all)=00300") in new stack
; -- Executing [s@office-incoming-call:15] Set("SIP/29186-08275158", "CALLERID(name)=00300->009003101042") in new stack



was allerdings dabei ganz interessant war, ist der USERAGENT "release 1105c". Hierbei scheint es sich um ein X-Lite Softphone zu handeln. Die IP kam bei mir von einer Dialup Verbinung in Spanien. Wenn man nun den USERAGENT googled, stellt man fest, dass dieser "jean smith" schon letztes Jahr häufiger aktiv war... gemäss den Einträgen auf den verschiendenen Blogs. Da ich grad am debuggen von etwas war, konnte ich das ganze live miterleben. Das Brutale an der Sache ist nicht die 0900er Nummer... die kann man blockieren. Sondern, was passiert, wenn jemand so kriminell ist und anfängt kunterbunt durch die Gegend zu telefonieren... nur um die Kosten nach oben zu treiben. Bei meinem Setup wäre so etwas zwar nicht möglich, da ich beim "default" nicht raustelefoniere, sondern alles nur reinkommt von von dort aus verteilt wird, nur muss ich zugeben, dass es wohl bei den Meisten der Normalfall sein wird, dass [default,s,1] oder irgend so was ähnliches das Zeugs raustelefonieren lässt. Denkt mal an Anrufe auf Satelliten-Rufnummern --- die sind dann aber richtig teuer! Da schauen die 900er grad alt dagegen aus.

Gruss,
Chris

 

[Timmbo]

Hi kombjuder,

ach so meintest Du das, das ist mir klar, darauf habe ich ja selbst schon Teilnehmer hingewiesen.
Ich wusste nicht dass das als "Gast-Zugang" bezeichnet wird, für mich ist das einfach eine Fehlkonfiguration, so wie eine Haustür die immer offen steht.

Grüße
Timm

 

[kombjuder]

Ich wusste nicht dass das als "Gast-Zugang" bezeichnet wird, für mich ist das einfach eine Fehlkonfiguration

Hallo Timm,

warum Fehlkonfiguration?

Ich habe einige Bekannte, zwischen denen wir direkt-ip Gespräche führen, weil wir keinen gemeinsamen Provider haben, oder eben Anrufe über ENUM.

Sondern, was passiert, wenn jemand so kriminell ist und anfängt kunterbunt durch die Gegend zu telefonieren...

Oder entsprechende Informationen über ungesicherte VOIP-Zugänge über Internet verbreitet oder verkauft.

Ich denke da an den Einsatz in Internetcafes oder an Ausländer, die mal ausgiebig nach Hause telefonieren wollen. Europäische Handy-Netze sind auch nicht gerade kostengünstig.

In dem Fall bringen es nicht die Minutenpreise sondern die Anzahl der Gespräche.

Edit Guard-X: Beiträge zusammengeführt!

 

[Timmbo]

Hi Kombjuder,

Ich habe einige Bekannte, zwischen denen wir direkt-ip Gespräche führen, weil wir keinen gemeinsamen Provider haben, oder eben Anrufe über ENUM.

das habe ich auch und bei mir gibt es im default kein Zugang zum PSTN Netz.
Nur Verbindungen zu VoIP Anschlüssen.
Das meinte ich mit "Fehlkonfiguration"


Grüße
Timm