Telefonanlagen Hijack bei o2 Siptrunk an One Access 425 ?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
I

ip-user44

Neuer User
Mitglied seit
8 Jul 2018
Beiträge
132
Punkte für Reaktionen
1
Punkte
18
Hallo,

Problem: o2 Festnetz hat 12 stündige Russland Gespräche in Rechnung gestellt, es gab also Telefon Hijack


Dies ist vorhanden: o2 Siptrunk am One Access 425

TIPTEL 822xt TK Anlage mit ca. 5 Telefonen (scheint mit ohne VOIP Modul zu sein)
D.h. meinem Verständnis nach ist die TIPTEL ohne Voip / SIP Funktionalität
und an diesem "ISDN Mediagateway"

O2 erklärte, das der Oneacess eingehend keine Portfreischaltungen hat, somit kann es ja eigentlich nur an u.g. 5004....Freischaltung gelegen haben?

Voicebox Fernabfrage wird nicht genutzt, ob es dennoch aktiviert ist weiß ich nicht.

+++
Fritzbox 7490 (erreichbar aus dem Internet z.B. über Port 45823) an einer separaten o2 DSL Leitung/Vertrag für manuelles Faxgerät mit einem exposed Host Regel zu der lokalen Watchguard Firewall

In der Watchguard gab es eine Portfreigabe für TCP 5004-50-62 und UDP 5004 / Zweite Policy: Outgoing: udp 5000-6000

+++

Es wurde nun mittels o2 Telefonate ausserhalb Deutschland gesperrt

+++

Was ist hier das Problem gewesen?

Danke für eine Einschätzung!
 
Moins


Dein Post ruft höchstens zum spekulieren auf.

Um rauszukriegen was wirklich passiert ist, bedarf es einer vollständigen SIP-Protokollierung.
...oder zumindest die INVITE Anfragen des Angreifers.

Beispiel gefällig ?

Das hier sind alles INVITE Anfragen von Anrufern die nicht über meinen ITSP* kamen...
( Erkenne ich mittlerweile mit einen Blick auf den User-Agent: )
Code: 
SIP INVITE log
----------
2018-08-08 23:50:21.562 - IN: my=192.168.178.1%15:5060 peer=46.166.139.156 port=54066 TCP, sipiface=none:
INVITE sip:[email protected] 2.0
Via: SIP/2.0/TCP 46.166.139.156:7683;branch=z9hG4bK-524287-1---aa2fac03996c2e5e;rport
From: "NoAuth" <sip:[email protected]>;tag=a4004060
To: <sip:[email protected]>
Call-ID: w-fJxZI0mUVgx3GhiTstgg..
CSeq: 1 INVITE
Contact: <sip:[email protected]:7683;ob;transport=tcp>;+sip.instance="<urn:uuid:CB7EBF88-66DF-19EE-53B5-FB71C6C51A3C>"
Max-Forwards: 70
Supported: replaces
Supported: outbound
Supported: path
User-Agent: PortSIP VoIP SDK 11.2
Allow-Events: hold
Allow-Events: talk
Allow-Events: conference
Allow: INVITE,  ACK,  CANCEL,  OPTIONS,  BYE,  REFER,  NOTIFY,  MESSAGE,  REGISTER,  SUBSCRIBE,  INFO,  PUBLISH
Content-Type: application/sdp
Content-Length:   275

v=0
o=- 293340365 1 IN IP4 169.254.68.19
s=portsip.com
c=IN IP4 169.254.68.19
t=0 0
m=audio 20004 RTP/AVP 0 8 18 101
a=rtpmap:0 PCMU/8000
a=rtpmap:8 PCMA/8000
a=rtpmap:18 G729/8000
a=fmt
2018-08-09 02:12:11.551 - IN: my=192.168.178.1%15:5060 peer=89.163.247.164 port=62138 UDP, sipiface=none:
INVITE sip:[email protected] 2.0
Via: SIP/2.0/UDP 0.0.0.0:62138;branch=z9hG4bK551574410
From: <sip:[email protected]>;tag=63503273
To: <sip:[email protected]>
Call-ID: 101056256-1608951343-364969945
CSeq: 1 INVITE
Contact: <sip:[email protected]:62138>
Max-Forwards: 70
User-Agent: pplsip
Content-Type: application/sdp
Content-Length:   204

v=0
o=180119413463184 16264 18299 IN IP4 0.0.0.0
s=pplsip
c=IN IP4 0.0.0.0
t=0 0
m=audio 25282 RTP/AVP 100 6 0 8 3 18 5 101
a=rtpmap:0 pcmu/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-11


2018-08-09 05:16:28.118 - IN: my=192.168.178.1%15:5060 peer=89.163.247.164 port=56308 UDP, sipiface=none:
INVITE sip:[email protected] 2.0
Via: SIP/2.0/UDP 0.0.0.0:56308;branch=z9hG4bK295316414
From: <sip:[email protected]>;tag=1564052380
To: <sip:[email protected]>
Call-ID: 147810488-1203092352-1234664635
CSeq: 1 INVITE
Contact: <sip:[email protected]:56308>
Max-Forwards: 70
User-Agent: pplsip
Content-Type: application/sdp
Content-Length:   205

v=0
o=1901187122105234 16264 18299 IN IP4 0.0.0.0
s=pplsip
c=IN IP4 0.0.0.0
t=0 0
m=audio 25282 RTP/AVP 100 6 0 8 3 18 5 101
a=rtpmap:0 pcmu/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-11


2018-08-09 08:22:05.066 - IN: my=192.168.178.1%15:5060 peer=89.163.247.164 port=56203 UDP, sipiface=none:
INVITE sip:[email protected] 2.0
Via: SIP/2.0/UDP 0.0.0.0:56203;branch=z9hG4bK237657500
From: <sip:[email protected]>;tag=1079008081
To: <sip:[email protected]>
Call-ID: 1446856311-329742969-1991682901
CSeq: 1 INVITE
Contact: <sip:[email protected]:56203>
Max-Forwards: 70
User-Agent: pplsip
Content-Type: application/sdp
Content-Length:   205

v=0
o=2001187122105234 16264 18299 IN IP4 0.0.0.0
s=pplsip
c=IN IP4 0.0.0.0
t=0 0
m=audio 25282 RTP/AVP 100 6 0 8 3 18 5 101
a=rtpmap:0 pcmu/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-11


2018-08-09 08:30:39.097 - IN: my=192.168.178.1%15:5060 peer=46.166.187.141 port=65395 TCP, sipiface=none:
INVITE sip:[email protected] 2.0
Via: SIP/2.0/TCP 46.166.187.141:19323;branch=z9hG4bK-524287-1---c805975468141a01;rport
From: "1000" <sip:[email protected]>;tag=6662291d
To: <sip:[email protected]>
Call-ID: WdgHI-Wtiy36iVtUfy4trw..
CSeq: 1 INVITE
Contact: <sip:[email protected]:19323;ob;transport=tcp>;+sip.instance="<urn:uuid:05EAAA0D-4145-E1B1-5460-D1F8DA648ADC>"
Max-Forwards: 70
Supported: replaces
Supported: outbound
Supported: path
User-Agent: PortSIP VoIP SDK 11.2
Allow-Events: hold
Allow-Events: talk
Allow-Events: conference
Allow: INVITE,  ACK,  CANCEL,  OPTIONS,  BYE,  REFER,  NOTIFY,  MESSAGE,  REGISTER,  SUBSCRIBE,  INFO,  PUBLISH
Content-Type: application/sdp
Content-Length:   279

v=0
o=- 293285129 1 IN IP4 169.254.229.104
s=portsip.com
c=IN IP4 169.254.229.104
t=0 0
m=audio 20004 RTP/AVP 0 8 18 101
a=rtpmap:0 PCMU/8000
a=rtpmap:8 PCMA/8000
a=rtpmap:18 G729/8000
a=
2018-08-09 11:28:15.591 - IN: my=192.168.178.1%15:5060 peer=89.163.247.164 port=58037 UDP, sipiface=none:
INVITE sip:[email protected] 2.0
Via: SIP/2.0/UDP 0.0.0.0:58037;branch=z9hG4bK201156761
From: <sip:[email protected]>;tag=199190938
To: <sip:[email protected]>
Call-ID: 755138810-1282945190-971414397
CSeq: 1 INVITE
Contact: <sip:[email protected]:58037>
Max-Forwards: 70
User-Agent: pplsip
Content-Type: application/sdp
Content-Length:   205

v=0
o=2101187122105234 16264 18299 IN IP4 0.0.0.0
s=pplsip
c=IN IP4 0.0.0.0
t=0 0
m=audio 25282 RTP/AVP 100 6 0 8 3 18 5 101
a=rtpmap:0 pcmu/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-11


2018-08-09 15:12:11.044 - IN: my=192.168.178.1%15:5060 peer=107.175.17.101 port=58758 TCP, sipiface=none:
INVITE sip:[email protected] 2.0
Via: SIP/2.0/TCP 107.175.17.101:58758;branch=z9hG4bKa39b1f6256d644039cb1b22035456ec3;rport
From: "1" <sip:[email protected]>;tag=5l6ron0ft8
To: <sip:[email protected]>
Call-ID: 995cd1bb0d2044f3ad1a272b70b85d5e
CSeq: 1 INVITE
Contact: <sip:[email protected]:58758;transport=TCP>
Max-Forwards: 70
User-Agent: callingSystem
Allow: INVITE,  ACK,  CANCEL,  OPTIONS,  BYE,  SUBSCRIBE,  NOTIFY,  REFER,  INFO,  MESSAGE
Content-Type: application/sdp
Content-Length:   376

v=0
o=- 351957105 351957105 IN IP4 107.175.17.101
s=callingSystem
c=IN IP4 107.175.17.101
t=0 0
m=audio 7032 RTP/AVP 18 8 0 3 100
a=rtpmap:18 G729/8000
a=fmtp:18 annexb=no
a=rtpmap:8 PCMA/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:3 GSM/8000
a=rtpmap:100 SPEEX/16000
a=sendrecv
m=video 7062 RTP/AVP 99
a=rtpmap:99 H264/90000
a=fmtp:99 packetization-mode=1
a=sendrecv


2018-08-09 15:28:33.509 - IN: my=192.168.178.1%15:5060 peer=107.175.17.101 port=35011 TCP, sipiface=none:
INVITE sip:[email protected] 2.0
Via: SIP/2.0/TCP 107.175.17.101:35011;branch=z9hG4bK29fab280e69f4199bdb570c9b69127d3;rport
From: "1" <sip:[email protected]>;tag=iuwbdc9mur
To: <sip:[email protected]>
Call-ID: ca3ccc906ca948fa958570d7ebcda19f
CSeq: 1 INVITE
Contact: <sip:[email protected]:35011;transport=TCP>
Max-Forwards: 70
User-Agent: callingSystem
Allow: INVITE,  ACK,  CANCEL,  OPTIONS,  BYE,  SUBSCRIBE,  NOTIFY,  REFER,  INFO,  MESSAGE
Content-Type: application/sdp
Content-Length:   376

v=0
o=- 351957105 351957105 IN IP4 107.175.17.101
s=callingSystem
c=IN IP4 107.175.17.101
t=0 0
m=audio 7032 RTP/AVP 18 8 0 3 100
a=rtpmap:18 G729/8000
a=fmtp:18 annexb=no
a=rtpmap:8 PCMA/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:3 GSM/8000
a=rtpmap:100 SPEEX/16000
a=sendrecv
m=video 7062 RTP/AVP 99
a=rtpmap:99 H264/90000
a=fmtp:99 packetization-mode=1
a=sendrecv

Fazit: VoIP angreifen ist/wird beliebter als FTP/SSH Server zu hacken


* Internet Telephony Service Provider
 
Zuletzt bearbeitet:
Hallo,

danke für die Info.

Was soll denn mit einer Tiptel. 822xt ISDN TK Anlage anstellbar sein, wenn gewisse VOIP Ports irrtümlich eigehend in der Watchguard Firewall zur TK Anlage freigeschaltet waren...

Hieße ja, das die TIP doch gewisse SIP/VOIP Dienste hätte, kann ich vielleicht mit NMAP,Telnet, Portscan sehen...
 
Moins

Die von mir geposteten "SIP URI Calls" machen einen einfachen Versuch ob "Gäste" ( nicht Authorisierte ) in einen Wählplan gelangen der ausgehende Anrufe über (d)einen Provider erlaubt.
...schlägt es fehl, taucht es nicht einmal in der Anrufsliste auf.
( Die Brille, die bei Gefahr undurchsichtig wird - "Hitch Hikers Guide" )
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 513 (Mitglieder: 5, Gäste: 508)

Neueste Beiträge

Statistik des Forums

Themen
246,219
Beiträge
2,248,328
Mitglieder
373,792
Neuestes Mitglied
gilbertsamson563
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück