Další možnost je nastavit na telefonu přesměrování na drahé číslo. Pokud jste si změnili defaultní admin heslo, výrobce tam mohl dát ještě možnost přihlásit se jako user, kde tohle lze provést. Většina lidí o možnosti přihlásit se jako user s defaultním účtem vůbec neví.
Z některých telefonů lze vykrást i jméno a heslo. Setkal jsem se i s tím, že byla napadena i VoIP ústředna na neveřejné ip adrese kvůli nebezpečnému typu NATu. Bylo možné tak uhádnout SIP jméno a heslo přímo z internetu.
Nebezpečný typ NATu se pozná tak, že vám zpravidla zvoní telefony v době kdy to zkouší pan útočník, přestože jsou na neveřejné adrese. Je to také relativně běžné. Nebezpečný NAT se jmenuje Full-cone NAT. Pak z hlediska SIPu jako by nebyl.
Vždy by měly být nastaveny nějaké limity na útratu.
NAT není firewall.
Firewall není jediná součást bezpečnosti.
Přístup k VoIP jsem viděl v zásadě trojího druhu:
Jedna část zákazníků to má jako korporátní policy, často centrálně spravované i na mezinárodní úrovni. Tam problémy nebývají, telefony jsou autokonfigurované, zabezpečené, v samostatné VLAN, někdo se o to stará, atd.
Druhá část zákazníků má řešení od operátora. Ten si do lokality přivede vlastní linku, kompletně oddělenou a buďto dodá vlastní switch, nebo vyžaduje aspoň VLAN pro telefony. Ani v tomto řešení nebývají problémy.
Problematické bývají řešení od šmudlů, co nabízejí na lokální úrovni VoIP na sdílené lince s internetem, koncová zařízení nechají ať si kupují a spravují zákazníci, ... Tady bývá největší průšvih, protože místní admin VoIP obvykle nerozumí, splácá to z návodů od poskytovatele a z internetu. Nakoupí telefony podle uvážení z internetu, aniž by měl jakoukoliv zkušenost.
Ta třetí skupina je neobsloužitelná a nepoučitelná. VoIP používají hlavně kvůli ceně, a řešit bezpečnost a profesionální správu už do výpočtu nezapadá.
Tolik moje zkušenost v praxi.
Řešení "od šmudlů" ale funguje dobře a menšímu zákazníkovi dává flexibilitu. Jako koncový zákazník bez vlastní telefonní ústředny je pravděpodobnost, že během roku přijdete o měsíční provolávku naprosto zanedbatelná. Něco jako 0,03 % ročně. A i tak budete muset nejspíš útočníkovi nějak pomoci, jako přesměrovat si port, aby byl web zařízení přístupný komukoli z internetu. Že by přidělil poskytovatel internetu zrovna vašemu voip telefonu veřejnou ip adresu se už pěkně dlouho nestalo. O hacknutém microtiku který byl k tomu použit slyším poprvé. Všechny útoky s kterými jsem se setkal byly založeny na skenování internetu a přímém napadení VoIP zařízení.
Podstatně horší situace je pokud se zákazník snaží mít svoji vlastní ústřednu (kterou ale často nepotřebuje). Ale i tam stačí dodržet pár pravidel. Tam doporučuji neotvírat firewall do světa. Použít nestandardní porty. Útočníci sledují hlavně port 5060, použitím jiného vysokého portu se vyhnete 99% procent útoků, zátěži a nepořádku v lozích. Volit silná hesla. A nedovolit placené hovory jen voláním NA SIP uri. A hlavně nedovolit přístup na web ústředny komukoli z internetu - použít ještě další vrstvu ochrany.
Pokud máte vlastní ústřednu na neveřejné adrese může být dobré zkontrolovat jestli nemáte směrem do internetu Full-cone NAT bez firewallu. Pokud to je tak, ztrácíte výhody neveřejné adresy. Že někteří výrobci routerů pro BFU jako defaultní nedokumentované nastavení zvolí právě Full-cone NAT bez firewallu je neskutečná arogance a hloupost. Ale to není u výrobců routerů nic nového viz kurvítko SIP ALG které má skoro každý router. Naštěstí dnes už defaultně většinou vypnuté. https://www.802.cz/sip-alg/
15. 3. 2020, 11:08 editováno autorem komentáře
taky mam zkusenosti s hacknutim asterisku. Nekdo z ciny se prijpojil na nas asterisk (za firewallem, ale port 5060 byl pristupny pro kohokoliv, takze firewall jako by nebyl. Uz si presne nepamatuju detaily, ale nejakym zpusobem se prihlasil jako by byl lokalni telefonni pristroj, sice se nedokazal prihlasit, ale i s timto castecnym prihlasenim byl schopny se dostat na default context a z nej uskutecnit nekolik stovek hovoru soucasne. Vyprazdneni predplaceneho creditu (asi 40 euro) trvalo par sekund.
Reseni:
1. z default contextu se uz neda volat, nevede nikam
2. firewall povoli pristup na 5060 jenom spratelenym ip adresam
od te doby se uz nic dalsiho nestalo
Doporuceni upgradovat firmware telefonu povazuji za pokus o vtip - zname vyrobce. Neco koupis, jeste to nemas ani 10 let a podpora uz neni. Prece nebudeme kazde 2 roky menit telefony. On je celkem problem i s tim nestastnym asteriskem - je tam 10+ let stara verze, ovsem dat tam novou verzi by znamenalo zkonfigurovat to znovu od zacatku, od te doby se toho zmenilo tolik, ze z puvodnich konfiguracnich files by nebylo pouzitelne skoro nic.
On je celkem problem i s tim nestastnym asteriskem - je tam 10+ let stara verze, ovsem dat tam novou verzi by znamenalo zkonfigurovat to znovu od zacatku, od te doby se toho zmenilo tolik, ze z puvodnich konfiguracnich files by nebylo pouzitelne skoro nic.
To k tomu patří, to se musí započítat do TCO. Buďto jdete podle doporučení vendora => pak máte práci s upgrady. Nebo si uděláte vlastní řešení (stará verze, chráněná jinak) => pak máte custom řešení, obvykle závislé na jednom odborníkovi a jeho schopnostech ta rizika vidět. Dnes už bývá levnější počítat s náklady na upgrade, než být závislý na schopnostech a dostupnosti škovného Přemka Podlahy.