https://www.opennet.dev/openforum/vsluhforumID6/1470.html Друзья,подскажите, как могли взломать cisco cme c публичным ip. Сейчас следующий конфиг был залит относительно SIP:<br>voice service voip<br> ip address trusted list<br> ipv4 178.16.26.122 255.255.255.255<br> ipv4 144.76.42.108 255.255.255.255<br> ipv4 176.9.145.115 255.255.255.255<br> ipv4 5.9.108.25 255.255.255.255<br> ipv4 78.46.95.118 255.255.255.255<br> ipv4 89.249.23.194 255.255.255.255<br> ipv4 178.16.26.124 255.255.255.255<br> ipv4 176.9.85.133 255.255.255.255<br> ipv4 46.4.53.86 255.255.255.255<br> ipv4 5.9.84.165 255.255.255.255<br> ipv4 78.16.26.122 255.255.255.255<br> ipv4 77.235.62.222 255.255.255.255<br> ipv4 81.88.86.11 255.255.255.255<br> ipv4 192.168.1.50 255.255.255.255<br> ipv4 217.150.198.44 255.255.255.255<br> ipv4 178.63.96.3 255.255.255.255<br> ipv4 178.63.96.28 255.255.255.255<br> ipv4 192.168.11.0 255.255.255.0<br> ipv4 192.168.173.0 255.255.255.0<br> allow-connections h323 to h323<br> allow-connections h323 to sip<br> allow-connections sip to h323<br> allow-connections sip to sip<br> supplementary-service h450.12<br> https://www.opennet.dev/openforum/vsluhforumID6/1470.html#5 Wed, 10 Sep 2014 06:48:48 GMT &gt; Чо это за CDR'ы? Где там ANI, DNIS и с какого адреса <br>&gt; трафик шел? Может быть там и номера пиров есть?<br>&gt; Нужны voip'ные пиры, pots не интересно, очень маловероятно чтобы оператор занимался такой <br>&gt; ерундой.<br><br>На момент взлома был доступен только входящий voip диал-пир.<br>dial-peer voice 3 voip<br> translation-profile incoming incoming<br> incoming called-number 141756<br> voice-class codec 1<br> voice-class sip bind control source-interface GigabitEthernet0/0<br> voice-class sip bind media source-interface GigabitEthernet0/0<br> dtmf-relay rtp-nte<br> no vad<br><br>voice translation-rule 1040<br> rule 1 /^.*$/ /21/<br><br>voice translation-profile incoming<br> translate called 1040<br><br>Остальные были выключены:<br>dial-peer voice 4 voip<br> description MEZHGOROD<br> translation-profile outgoing outgoing-mezhdunarod<br> shutdown<br> destination-pattern 9375.........<br> session protocol sipv2<br> session target sip-server<br> voice-class codec 2<br> no voice-class sip outbound-proxy<br> voice-class sip profiles 20<br> voice-class sip bind control source https://www.opennet.dev/openforum/vsluhforumID6/1470.html#4 Wed, 10 Sep 2014 05:03:59 GMT Чо это за CDR'ы? Где там ANI, DNIS и с какого адреса трафик шел? Может быть там и номера пиров есть?<br>Нужны voip'ные пиры, pots не интересно, очень маловероятно чтобы оператор занимался такой ерундой.<br> https://www.opennet.dev/openforum/vsluhforumID6/1470.html#3 Tue, 09 Sep 2014 18:07:39 GMT &gt; Во-первых посмотрите аккаунтинг - как именно слили.<br>&gt; Насколько я помню функционал CME не использует механизм ip address trusted list, <br>&gt; т. е. SCCP устройству можно прописать правильный mac и CME его <br>&gt; пустит. На SIP я этого не проверял.<br>&gt; Кроме того можно впрямую слить трафик на адрес шлюза если на source <br>&gt; адрес существует dial-peer с соответствующим session target'ом. Причем этот пир не <br>&gt; обязан отматчиться как входящий. В этом случае trusted list не анализируется. <br><br>Похоже все-таки через SIP - сейчас логи чистые с адекватными номерами и активностью.Как же найти, где был косяк в настройке, как без аутентификации звонили.<br> https://www.opennet.dev/openforum/vsluhforumID6/1470.html#2 Tue, 09 Sep 2014 17:14:58 GMT &gt; Во-первых посмотрите аккаунтинг - как именно слили.<br>&gt; Насколько я помню функционал CME не использует механизм ip address trusted list, <br>&gt; т. е. SCCP устройству можно прописать правильный mac и CME его <br>&gt; пустит. На SIP я этого не проверял.<br>&gt; Кроме того можно впрямую слить трафик на адрес шлюза если на source <br>&gt; адрес существует dial-peer с соответствующим session target'ом. Причем этот пир не <br>&gt; обязан отматчиться как входящий. В этом случае trusted list не анализируется. <br><br>спасибо за отклик столь быстрый.<br>Взлом был еще где-то 20 августа, меня не было в тот момент.тогда просто перекрыли доступ по SIP. Сейчас приехал, начал разбираться.В cdr за то число, которые в локальный файл сохраняется не могу понять, что откуда.Похоже, что через SIP судя по этим записям:<br>1408568954,173578,0,2,"72E506B 27E511E4 AD2BCAF0 16E99558","","","*01:08:54.946 Moscow Thu Aug 21 2014","","*01:09:14.446 Moscow Thu Aug 21 2014","*01:09:14.446 Moscow Thu Aug 21 2014","","","answer",0,"",0,0,0,0,"1101","1101","810972595358613 https://www.opennet.dev/openforum/vsluhforumID6/1470.html#1 Tue, 09 Sep 2014 14:45:22 GMT Во-первых посмотрите аккаунтинг - как именно слили.<br>Насколько я помню функционал CME не использует механизм ip address trusted list, т. е. SCCP устройству можно прописать правильный mac и CME его пустит. На SIP я этого не проверял.<br>Кроме того можно впрямую слить трафик на адрес шлюза если на source адрес существует dial-peer с соответствующим session target'ом. Причем этот пир не обязан отматчиться как входящий. В этом случае trusted list не анализируется.<br>