piratage via tiers

[fastm3]

à part le fait que le gars soit rentré sur la passerelle, je comprends pas comment il m'envoie des paquets provenant de la bonne ip / bon port, et y répond (l'effronté)

Il passe par la patton, ca semble le plus probable , non ?
Faudrait voir la config de la patton, version...
S'il a tout bêtement reussi a s'enregistrer dessus....
J'activerai les logs sur patton et recupererai ceux-ci. Je crois qu'on peut rediriger cela vers un syslog. Ca permettrait de valider l'hypothese. ( on simulera les appels vers une fake destination pour observer le hacker )
Francois.

[jean]

la version d'asterisk est 1.6.1.20 - c'est vieux....

je pense effectivement que ca a à voir avec la patton... mais il y a un pbm au niveau du lan du site, le hacker rentre d'abord sur le site, puis ressort par la patton. je vais aller voir tout à l'heure

[jean]

le gars vient de recommencer, c'est le user agent de la patton dans les logs asterisk.... je vais sur site pour chopper les logs de la patton meme

[olppp]

J'ai déjà été confronté à un piratage par l'intermédiaire d'une Patton. Par défaut elle acceptait tous les appels venant du réseau local et effectivement le/les pirates, sûrement un réseau de bots, rebondissait par un routeur mal configuré. La destination principale visée était un site de jeu en ligne.

[quintana]

Sur ton schéma je vois internet -- asterisk donc est-ce que ton Asterisk est ouvert sur internet directement ? Il y a pas mal de faille remote sur Asterisk qui ont été corrigé (peut être pas toutes en passant), il faut mettre aussi à jour Asterisk car sinon quelqu'un peut exploiter les failles et avoir les infos qui vont bien. Il faut que tu sois sûr que tout est bloqué. Sinon si la patton est accessible aussi, il y a en effet un risque, pourquoi ne pas mettre un firewall est autorisé juste ton trafic opérateur ?

[therebel23]

Ca peut pas venir du PABX par hasard (par un renvoi par exemple). C'est quel modèle le PABX ?

[jean]

J'ai déjà été confronté à un piratage par l'intermédiaire d'une Patton. Par défaut elle acceptait tous les appels venant du réseau local et effectivement le/les pirates, sûrement un réseau de bots, rebondissait par un routeur mal configuré. La destination principale visée était un site de jeu en ligne.

C'est exactement ca.... j'ai pu analyser, et un simple INVITE d'un client LAN ressort par le trunk sip configuré sur la patton....

comment as tu modifié la config pour bloquer ca ??? je vois vraiment pas ce que je peux changer !

[olppp]

La Patton a été basculé dans un vlan privé qu'elle partage avec le serveur Asterisk. Ce n'est pas le top, le mieux serait de configurer les routes et les acl sur la Patton ;mais je manque de connaissance là-dessus. J'ai repris une configuration existante.

[jean]

Merci pour les réponses....

le vlan est pas possible à priori , etj'aurais la main sur le routeur pas avant lundi.... j'ai essayé les routes, mais pas de succès... j'ai ouvert un ticket chez patton, et je continue à chercher

[jean]

bon.... patton reste incomparable en termes de support... gratuit, rapide et efficace, c'est juste impressionant !

pour ceux qui ont des pattons.... les firmware 6.x ont une fonction TRUST qui empeche cela - dispo via CLI uniquement:
enable
configure
context cs switch

ensuite pour chaque interface SIP:
interface sip <nom de l'interface>
trust remote

(ou trust <ip ou fqdn du serveur>)
renverra un 503 à chaque demande faite par un host non trusté.

egalement les ACL sont en fait un mini firewall - il suffit de faire un accept depuis l'IP de son serveur, et un deny du reste

cdlt

eric