Это не баг, это фича.

Posted: 2013-09-20 in IT, Security
Метки:

Ну, чем хороша IP-телефония — говорить смысла нет. Это и более адекватные цены (не всегда, но часто), и возможность таскать за собой номер везде, где есть инет, и гибкое управление услугами, и много чего ещё.
О стандартных проблемах — геморрое с кодеками, плохой слышимостью при нестабильных каналах, плясками вокруг NAT и прохождением факса через злоебучий T.38 — тоже исписано много байтов.
Я же немного привлеку внимание к проблеме безопасности данной технологии. …

Никогда нельзя забывать, что телефония — это крайне дорогой сервис, где каждый чих оплачивается. Особенно в сравнении с общим уровнем развития современных сетей связи, где отдельные мегабайты уже даже не считают. Почему так, хорошо ли живется современным фрикерам и есть ли потолок у жадности телефонных компаний — вопрос отдельный.

Стандартные рекомендации я всё же повторю:
1). Сильные пароли. Это необходимо как воздух. Неважно, есть у вас fail2ban или нет, доступен ли ваш сервер только из локалки или из всего инета, и насколько умное железо у вас стоит. На любых учетках, даже тестовых, должны стоять сильные пароли. Неважно, что его придется копипастить. 15-20 полностью случайных символов из [a-Z0-9] должны стать нормой жизни.
Если вы пров — выдавайте их принудительно. Если вы клиент, и пров схалтурил — требуйте усиления паролей.

2). Оборудование должно быть максимально изолировано от основной сети, насколько это возможно. Как ни странно, но это прежде всего относится к клиентам. Если есть возможность, все IP-шлюзы и IP-фоны должны быть в отдельном влане, доступ в который должен строго ограничиваться. Смысла много мудрить (типа умной инспекции траффика с помощью NBAR/DPI) нет — вполне достаточно, чтобы доступ к админ-интерфейсу был только с доверенных админских машин, и чтобы исходяшие соединения были только до ваших DNS и до сервера телефонии. Эта простая мера делается на любом приличном маршрутизаторе, и могла бы спасти очень многих от крайне неприятных убытков.

Иногда встречается совсем крышесносящая ситуация — контора покупает настроенный IP-фон, и ставит его единственным устройством прямо на инет-канале. Девайс при этом светит всеми своими открытыми портами либо в провайдерскую локалку, либо вообще во внешний инет. Поверьте, такой телефон однажды в ночь с пятницы на субботу обязательно начнет названивать в дальние теплые страны с особо негуманными расценками за вызов. Обнаружено же это будет в лучшем случае в понедельник, а то и вообще при выставлении счета. И не дай боже, если у вас будет пост-оплата при отсутствии фильтрации! Счета с пятью, а то и с шестью нулями хоть и редко, но случаются.

3). Обновляйте прошивки! Ничего страшного, если в результате кривой прошивки пара офисных хомячков посидит денек без телефона. Это менее болезненно, чем получить счёт с кучей нулей за многодневные переговоры с Мальдивскими островами или фрикерами из Гватемалы.

4). Если у вас есть возможность фильтровать префиксы — фильтруйте их. Актуально это для всех, у кого такая возможность наличествует. Особенно внимательным стоит быть владельцам IP-PBX в офисе. Если есть возможность — разрешите вызовы только на определенные префиксы, а для остальных вызовов настройте доступ по паролю. Префиксы типа Сомали в большинстве случаев вообще можно закрыть нахуй. Конечно, если у вас много исходящей междугородней связи — то две-три недельки уйдет на сбор статистики и добавление основных используемых префиксов в белый список. Такая мера крайне эффективно нивелирует последствия как взломов оборудования, так и действий ряда недобросовестных "сотруднегофф", решивших позвонить со складского телефона в родные чуркестаны.

5). Ограничьте число одновременных вызовов на каждой линии. Даже самый продвинутый секретарь 80-го левела вряд ли сможет обслуживать одновременно более 7-10 вызовов, попеременно их переключая. Большинство же людей даже второй вызов принимают не всегда. Так что ставьте по умолчанию не более двух одновременных вызовов, для особых абонентов — максимум 10. Безлимитное значение стоять не должно нигде! Современное вредоносное ПО, нацеленное на фрикинг, умеет использовать многоканальные линии. При лимите в 32 одновременных вызова и звонках каждые 10 секунд в сторону Мальдив скорость причинения анальной боли вполне может достигнуть 4800 руб/мин. Сколько могут назвонить за выходные при отсутствии надлежащих мер защиты — оценить можете сами.

Во всей этой чехарде самый неприятный и труднореализуемый пункт — третий. Железа много, стоит оно
тонким слоем в разных зонах ответственности и под разным административным управлением. Но самые адовы лулзы начинаются после публикации собственно самой мякотки уязвимостей:
http://habrahabr.ru/post/194154/
http://forum.dlink.ru/viewtopic.php?f=5&t=162179
Я немного процитирую:

Недавно были обнаружены следующие особенности данного аппарата:
1. зайдя на web-интерфейс телефона под дефолтной учетной записью guest с паролем guest (уровень доступа общий), можно менять конфигурацию телефона: настройки IP, SIP и прочие. Можно даже глянуть на конфигурационный файл с паролями.
2. при удалении этой учетки guest, она вновь появляется после перезагрузки телефона. Появляется с паролем guest даже если до удаления он был сменен.

На что сотрудник компании D-Link Алексей Мотков дает официальный ответ:

«Особенность»

:yikes: :yikes: :insane: :insane: :insane:

Кстати, на DPH-300S тоже есть нечто подобное, при этом прошивка залита последняя.

Ещё смачная особенность таких говнофонов — осуществление вызова по полученному GET-запросу. Приходит к веб-морде вашего телефона запрос вида "GET /config/script.ext?a=dial&n=8109609003000" — и ваш телефон начал радостно тренькать в сторону Мальдив. В особо печальных случаях — в несколько параллельных вызовов.

А "фичи" у д-линка сильные, да.
На текущий момент обновлений прошивок нет.
Гаси левые префиксы, насилуй файервол, воруй/убивай.

- комментарии
  1. anonymous:

    Acpid writes:Про д-линки оказалось познавательно, не знал о подобных "фичах".

  2. Aminux:

    Там ещё много такого. Бэкдор на бэкдоре. Так что если домашний роутер и выбирать — то сразу с прицелом на залив опенсурсной прошивки. Потому что ситуация с качеством проприетарных прошивок не просто аховая — она пиздецовая. Ну а для VoIP-железа — это пиздец иных десятичных порядков.