Список доверенных адресов для голосовых шлюзов Cisco

Известно, что на голосовых шлюзах Cisco, есть (а точнее сказать была) уязвимость связанная с  default dial-peer. О чем идет речь…

если злоумышленник

1) узнает ip адрес шлюза 
2) он может послать на шлюз сообщение об установлении вызова (H323 SETUP, SIP INVITE),
также ему нужно знать порт протокола сигнализации (если он не стандартный). Первым делом он попробует стандартный.

Рекомендация!
По возможности, не используйте стандартные порты протоколов сигнализации
SIP = 5060
H323 = 1720

3) затем методом подбора определить план нумерации, а точнее международный формат набора принятый в компании.

Для Украины конфигурация шлюза может быть такой:

dial-peer voice 12 pots
   destination-pattern 900T
port 0/0/0:15
prefix 00
description INTL

И в таком случае все было бы слишком просто для злоумышленника, но иногда в компании используется дополнительный префикс выхода на международную связь.

dial-peer voice 12 pots
   destination-pattern 9*50500T
port 0/0/0:15
prefix 00
description INTL

Но ведь метод прямого перебора (bruteforce) никто не отменял. Можно написать программу, SIP клиент, которая будет пытаться “позвонить” перебирая разные номера, в конце концов найдет нужный формат набора (напр. злоумышленник из Лондона позвонит себе 9*50500442080985302) и готово! Международные звонки за чужой счет. Безусловно, если настроен межсетевой экран (firewall) злоумышленнику будет сложнее все это сделать.

Т.е. голосовой шлюз по-умолчанию доверяет звонкам с любых IP адресов. В версии IOS 15.1.2 ввели понятие списка доверенных адресов.

! Разрешены входящие звонки по SIP, H323 транкам только с адреса 10.1.250.101
voice service voip
ip address trusted list
ipv4 10.1.250.101

! Доверять всем адресам

voice service voip
ip address trusted list
ipv4 0.0.0.0 0.0.0.0

! Выключить механизм проверки доверенных IP адресов
voice service voip
no ip address trusted authenticate

direct-inward-dial

Речь пойдет о входящих pots dialpeer….

У Cisco шлюзов при входящих звонках из городской телефонной сети существуют два режима обработки вызова: DID и noDID. В первой случае шлюз принимает вызов, анализирует полученные цифры и маршрутизирует звонок. Во втором случае шлюз принимает вызов, не анализирует цифры и посылает гудок донабора — это режим двухэтапного набора.

До IOS 15.1.2 режим работы по-умолчанию был “no DID”. В этом IOS и новее по-умолчанию выбран режим одноэтапного набора (one-stage dialing). Хотя в настройках диалпиров, как это ни странно, я увидел “direct-inward-dial = disabled”, а по факту шлюз получал SETUP и сразу маршрутизировал вызов.

Чтобы отменить изменения внесенные инженерами Cisco (вернуть режим “no DID” по-умолчанию) нужно воспользоваться командой

voice service pots
no direct-inward-dial isdn

Успешной конфигурации!

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s