Anrufe von Externer IP im Minuten Takt

    Moin,


    heute hat sich die Telefonie bei uns in der Firma verabschiedet, in dem Zuge hab ich sofort die Logs kontrolliert und massenweise Timeouts festgestellt.


    Nach Neustart der SF lief die Telefonie auch wieder, aber Timeouts und versuche von außen einen Anruf herzustellen konnte ich weiterhin beobachten.


    Dann steht beispielsweise sowas in den Logs und das teilweise im Sekundentakt:


    chan_sip.c: Call from '' (107.181.166.180:40758) to extension '00390857993736' rejected because extension not found in context 'default'.

    Retransmission timeout reached on transmission _2PaL3vEOSslPH2xCod3QrZC.. for seqno 101 (Critical Response) -- See https://wiki.asterisk.org/wiki…y/AST/SIP+Retransmissions

    Packet timed out after 31999ms with no response



    Wenn ich die Nummer oder die IP google, komme ich auf Ergebnisse mit VOIP Hacking. Die IP ändert sich auch bei jeder erneuten Anfrage, die Nummer 00390857993736 bleibt die gleiche.

    Wenn ich es richtig verstehe, handelt es sich hier um einen Angreifer, der aber ohne SIP/Benutzerpasswörter nicht weit kommen wird. Da die IP/Nummer nicht in der sip.conf steht, wird der Anruf ja auch sofort rejected.


    Meine Frage wäre, ob man dagegen was tun kann/sollte, kann das der Auslöser für unsere kurzzeitigen Telefonie-Probleme sein?

    Hallo Schäfer


    Solche Angriffe sind alles Andere als Ungewöhnlich.

    Die STARFACE Blockiert solche Angriffe nach einigen Versuchen, und du erhälst im Systemstatus ==> Meldungen eine entsprechende Meldung.

    Ich habe am 05.09.2022 meine Liste erst gerade gelöscht, und habe bereits wieder 90 Seiten à 20 Zieilen von solchen Meldungen bei meiner Cloudanlage.

    Die versuchen meistens die STARFACE dazu zu bringen, irgendwelche Teure Nummern anzurufen.


    Wenn du eine Anlage hast, und dein Anbieter dir eine Liste von Trusted IP's für SIP-Invites geben kann, könntest du den 5060 auf diese IP's einschränken.

    Dann ist der Spuk vorbei.


    Auf welche Art "verabschiedet" sich die Telefonie denn?


    Keine Eingehenden Anrufe?
    Keine Ausgehenden Anrufe?

    Keine Interne Telefonie möglich?

    Leitung Rot?

    Man hört nichts?


    MfG


    Fabian

    Hallo Fabian,


    unsere Starface IP Blacklist Liste ist auch gut gefüllt, nur diese IPs landen nicht in der Blacklist vor allem kommt jede Anfrage immer von einer anderen IP.


    Wir laufen über einen Vodafone SIP Trunk, ich müsste da mal schauen, ob wir eine Liste mit Trusted IP's bekommen um die in unserer Firewall zu implementieren.


    Wenn wir den Port 5060 auf die Trusted IP's beschränken, wie sieht das dann mit Telefonen/Softphones aus, die sich aus dem Homeoffice bzw. von Extern anmelden?


    Dass die Telefonie sich verabschiedet hat, ist heute das erste Mal in dem Zusammenhang aufgetreten im Grunde gingen keine Anrufe raus oder rein.

    In den Logs waren viele Retransimssion Timeouts zum Vodafone Server zu sehen.

    Die interne Telefonie lief einwandfrei, und die Leitung war auf Grün.

    Evtl. nur ein doofer Zufall, dass zu dem Zeitpunkt der Provider Probleme gemacht hat?


    EDIT: ich sehe grad das von 10:00 bis 12:40 die Starface keine neuen IP's geblacklisted hat, obwohl in dem Zeitraum ordentlich Anfragen angekommen sind, aktuell schmeißt sie wieder viele Adressen auf die Blacklist.

    Von der IP-Adresse 128.90.108.174 wurde innerhalb von 1 Minute 57-mal eine Telefonregistrierung mit ungültigen Zugangsdaten versucht.

    inhaltsgleiche eMails mit Hunderten IPs bekomme ich seit ein paar Tagen verstärkt. Es sind immer die gleichen IPs.


    Die Starface scheint bei der ein oder anderen Anfrage schon mal zu husten.


    Gibt es eine Möglichkeit den die Blacklist zu verlängern oder ggf. auf Class-C auszuweiten?

    Quote

    Wenn wir den Port 5060 auf die Trusted IP's beschränken, wie sieht das dann mit Telefonen/Softphones aus, die sich aus dem Homeoffice bzw. von Extern anmelden?

    Da gibts entweder nur die Möglichkeit durch einen VPN Tunnel.

    Oder falls es die Firewall auch unterstützt, könntest du für den 5060 die IP Whitelist + Geoblocking betreiben. Also z.b. nur IP-Adressen aus dem Deutschen Raum + die IP-Adressen des Providers zulassen.


    Es wird sicher ein par Deutsche Computer in diesem Botnetz geben, das würde aber die Angriffsfläche bereits sehr reduzieren.


    In solchen Problemen mit dem Provider wäre es sehr hilfreich einen TCPDump zu machen.


    Quote

    Gibt es eine Möglichkeit den die Blacklist zu verlängern oder ggf. auf Class-C auszuweiten?

    Ich hab mal einen Baustein gemacht, welcher die IP-Bans in permanente Bans umwandelt, bin mir aber nicht sicher, ob ich diesen je Veröffentlicht habe.

    Die STARFACE lief zuvor mit IPTables, welche keine Class-C unterstützt, neu setzt sie auf die NFTtables für die Firewall.


    Ich glaube mit diesen wäre es möglich ganze Class-C Netze zu Blockieren (nicht über die UI, vermutlich als DB-Insert).

    Jedoch kenne ich mich da zu wenig aus.


    MfG


    Fabian

    GeoBlocking auf deutschen Raum bringt nicht viel.

    Bei mir sind dann trotzdem noch pro Tag "zig hundert" Angriffsversuche zu verzeichnen.


    Das Thema HomeOffice lässt sich wirklich sinnvoll so nur mit VPN lösen.

    Oder wie habt Ihr das umgesetzt?


    Und die APP empfehlen wir aus u.a. diesen Gründen nicht. Da hast Du viel zu viele Ports offen. Und es gab hier mal einen Thread zum Thema APP&Sicherheit, wo die Antworten von Starface auch nicht sonderlich überzeugend waren.

    Unsere Prämisse:
    Lieber nicht einsetzen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login