Další možnost je nastavit na telefonu přesměrování na drahé číslo. Pokud jste si změnili defaultní admin heslo, výrobce tam mohl dát ještě možnost přihlásit se jako user, kde tohle lze provést. Většina lidí o možnosti přihlásit se jako user s defaultním účtem vůbec neví.
Z některých telefonů lze vykrást i jméno a heslo. Setkal jsem se i s tím, že byla napadena i VoIP ústředna na neveřejné ip adrese kvůli nebezpečnému typu NATu. Bylo možné tak uhádnout SIP jméno a heslo přímo z internetu.
Nebezpečný typ NATu se pozná tak, že vám zpravidla zvoní telefony v době kdy to zkouší pan útočník, přestože jsou na neveřejné adrese. Je to také relativně běžné. Nebezpečný NAT se jmenuje Full-cone NAT. Pak z hlediska SIPu jako by nebyl.
Vždy by měly být nastaveny nějaké limity na útratu.
NAT není firewall.
Firewall není jediná součást bezpečnosti.
Přístup k VoIP jsem viděl v zásadě trojího druhu:
Jedna část zákazníků to má jako korporátní policy, často centrálně spravované i na mezinárodní úrovni. Tam problémy nebývají, telefony jsou autokonfigurované, zabezpečené, v samostatné VLAN, někdo se o to stará, atd.
Druhá část zákazníků má řešení od operátora. Ten si do lokality přivede vlastní linku, kompletně oddělenou a buďto dodá vlastní switch, nebo vyžaduje aspoň VLAN pro telefony. Ani v tomto řešení nebývají problémy.
Problematické bývají řešení od šmudlů, co nabízejí na lokální úrovni VoIP na sdílené lince s internetem, koncová zařízení nechají ať si kupují a spravují zákazníci, ... Tady bývá největší průšvih, protože místní admin VoIP obvykle nerozumí, splácá to z návodů od poskytovatele a z internetu. Nakoupí telefony podle uvážení z internetu, aniž by měl jakoukoliv zkušenost.
Ta třetí skupina je neobsloužitelná a nepoučitelná. VoIP používají hlavně kvůli ceně, a řešit bezpečnost a profesionální správu už do výpočtu nezapadá.
Tolik moje zkušenost v praxi.
Řešení "od šmudlů" ale funguje dobře a menšímu zákazníkovi dává flexibilitu. Jako koncový zákazník bez vlastní telefonní ústředny je pravděpodobnost, že během roku přijdete o měsíční provolávku naprosto zanedbatelná. Něco jako 0,03 % ročně. A i tak budete muset nejspíš útočníkovi nějak pomoci, jako přesměrovat si port, aby byl web zařízení přístupný komukoli z internetu. Že by přidělil poskytovatel internetu zrovna vašemu voip telefonu veřejnou ip adresu se už pěkně dlouho nestalo. O hacknutém microtiku který byl k tomu použit slyším poprvé. Všechny útoky s kterými jsem se setkal byly založeny na skenování internetu a přímém napadení VoIP zařízení.
Podstatně horší situace je pokud se zákazník snaží mít svoji vlastní ústřednu (kterou ale často nepotřebuje). Ale i tam stačí dodržet pár pravidel. Tam doporučuji neotvírat firewall do světa. Použít nestandardní porty. Útočníci sledují hlavně port 5060, použitím jiného vysokého portu se vyhnete 99% procent útoků, zátěži a nepořádku v lozích. Volit silná hesla. A nedovolit placené hovory jen voláním NA SIP uri. A hlavně nedovolit přístup na web ústředny komukoli z internetu - použít ještě další vrstvu ochrany.
Pokud máte vlastní ústřednu na neveřejné adrese může být dobré zkontrolovat jestli nemáte směrem do internetu Full-cone NAT bez firewallu. Pokud to je tak, ztrácíte výhody neveřejné adresy. Že někteří výrobci routerů pro BFU jako defaultní nedokumentované nastavení zvolí právě Full-cone NAT bez firewallu je neskutečná arogance a hloupost. Ale to není u výrobců routerů nic nového viz kurvítko SIP ALG které má skoro každý router. Naštěstí dnes už defaultně většinou vypnuté. https://www.802.cz/sip-alg/
15. 3. 2020, 11:08 editováno autorem komentáře