Hlavní navigace

Názor k článku Netypický, nebo snad typický útok na VoIP zařízení za neveřejnou IP? od Petr Soukup - Řešení "od šmudlů" ale funguje dobře a menšímu...

  • 15. 3. 2020 11:06

    Petr Soukup

    Řešení "od šmudlů" ale funguje dobře a menšímu zákazníkovi dává flexibilitu. Jako koncový zákazník bez vlastní telefonní ústředny je pravděpodobnost, že během roku přijdete o měsíční provolávku naprosto zanedbatelná. Něco jako 0,03 % ročně. A i tak budete muset nejspíš útočníkovi nějak pomoci, jako přesměrovat si port, aby byl web zařízení přístupný komukoli z internetu. Že by přidělil poskytovatel internetu zrovna vašemu voip telefonu veřejnou ip adresu se už pěkně dlouho nestalo. O hacknutém microtiku který byl k tomu použit slyším poprvé. Všechny útoky s kterými jsem se setkal byly založeny na skenování internetu a přímém napadení VoIP zařízení.

    Podstatně horší situace je pokud se zákazník snaží mít svoji vlastní ústřednu (kterou ale často nepotřebuje). Ale i tam stačí dodržet pár pravidel. Tam doporučuji neotvírat firewall do světa. Použít nestandardní porty. Útočníci sledují hlavně port 5060, použitím jiného vysokého portu se vyhnete 99% procent útoků, zátěži a nepořádku v lozích. Volit silná hesla. A nedovolit placené hovory jen voláním NA SIP uri. A hlavně nedovolit přístup na web ústředny komukoli z internetu - použít ještě další vrstvu ochrany.

    Pokud máte vlastní ústřednu na neveřejné adrese může být dobré zkontrolovat jestli nemáte směrem do internetu Full-cone NAT bez firewallu. Pokud to je tak, ztrácíte výhody neveřejné adresy. Že někteří výrobci routerů pro BFU jako defaultní nedokumentované nastavení zvolí právě Full-cone NAT bez firewallu je neskutečná arogance a hloupost. Ale to není u výrobců routerů nic nového viz kurvítko SIP ALG které má skoro každý router. Naštěstí dnes už defaultně většinou vypnuté. https://www.802.cz/sip-alg/

    15. 3. 2020, 11:08 editováno autorem komentáře