注意喚起(SIPポートへのアタック)
957 views
Skip to first unread message
高橋隆雄
Apr 15, 2020, 5:35:03 AM4/15/20
to 日本Asteriskユーザ会
テレワーク関連で、SIPポートへのアタックが考えられますので注意喚起しておきます。
--
影響を受ける環境/状況:
テレワーク環境(家庭等)でSIP対応の電話機、ソフトフォンなどを使用しておりクラウドサービスや、会社のIP-PBXに接続している場合。
考えられる攻撃:
これまでインターネット上に広まっていたSIPポート(主に5060/udp)に対する攻撃を一般家庭でも受ける可能性があります。現象としては『謎の』着信がある、正体の不明の相手からの通話要求があるが電話に出られない、出ても何も聞こえないなどです。
攻撃の影響を受ける理由/場合:
SIP対応の電話機あるいはソフトフォンがローカルのSIPポートとして5060を使用している場合、SIPポートに対するアタックの対象となります。これはAsterisk等のサーバのSIPポートが5060であるかどうかに関係しません。
[電話機 5060] <=====> [Asterisk 5060]
一般的、SIPの電話機/ソフトフォン(SIPクライアント)はAsteriskやIP-PBXに対して、自分の「所在」を登録するためREGISTERを行い、通話を開始するためにはINVITEを行います。この際、SIPクライアントが「目がけて行く」先は、AsteriskやIP-PBXの IPアドレス:ポート番号です。ご承知の通り、このポート番号が5060番の場合、インターネット上から攻撃を受けることがよくあり、皆さんもポート番号をずらす、あるいはファイアウォールで防御する等の対策を取られていると思います。
ところが昨今のテレワーク環境においては、このAsteriskやIP-PBXのポート番号ではなく、SIP電話機やソフトフォン側のポート番号で、一部の電話機/ソフトフォンでは『ローカルSIPポート』として5060を使うものがあることが知られています。ここで、問題とするのはこのローカルSIPポートです。
対策:
不用意な攻撃を受けないようにする方法はいくつかあります。
・電話機/ソフトフォンのポート番号をずらす
電話機あるいはソフトフォンの設定で、ローカルSIPポートを5060以外のところにずらしてください。ここで、〇〇番が良い、などと書くとその情報が伝播して攻撃対象となることが考えられますので、『不都合のない適切な』値に設定してください。
・家庭側でもフィルタ/ファイアウォールを施す
クラウド上のIP-PBXや会社のサーバのIPアドレスが固定、あるいは、ある範囲にある場合ならば、家庭側のルータ等でSIPポート番号に対する『入り』(着信)をそのIPアドレスからのみ許可するようにしてください。
急な対応により、不用意なSIP電話機やソフトフォンも増えているかと思いますので、皆様、お気をつけください。サーバ側の5060ポートに対しては慎重に行動されているかとは思いますが、家庭等に電話機を持っていった場合、5060が開いているかもしれないということを失念されていることがあります。今回、問題としているのは電話機ソフトフォン側のポート番号ですので、注意をお願いします。
Takao Takahashi
まこと
May 2, 2020, 2:52:36 PM5/2/20
to 日本Asteriskユーザ会
どうしても、影響がある状況が想定できないのですが、
家庭内LAN内では確かに、5060のままですが、
一般的なルーターですと、NAPTによって、インターネット側に出ると、60001のようなポートに変換されると思うのですが。
でもこの時、60001に攻撃されてしまうと、受けてしまうかな。
あとは、パソコンで直接PPPoEでネット接続していると、直接5060で攻撃される。
勘違いしていたらゴメンナサイ。
高橋隆雄
May 3, 2020, 6:20:19 PM5/3/20
to 日本Asteriskユーザ会
これちょっと気を付けてください。
わかってる人は『わかってて』開けてると思うのですが
>一般的なルーターですと、NAPTによって、インターネット側に出ると
ここで言っているポートは電話機orソフトが開けて待っているポートで外へ『出ない』です。
SIPの電話機で着信する場合はUDPで口開けて待っている状態なので、NAT配下で着信させ
る場合には静的NATとFWの調整をしているはずなので、わかってて開けている場合には気が
つくのですが、わからずに開けていると危ないです。ソフトによっては自分がregisterした
ドメインからしか着信を受け付けないのですが、そうでないものも多くあります。
余計な着信が大量に来るだけなので実害はないといえるかもしれませんが、実際に報告のあ
がっているケースでは業務に支障が出るほどの着信があるそうです。まあ、総当たりしてく
るので、そうなるわけですけども。
2020年5月3日(日) 3:52 まこと <kura...@gmail.com>:
--
このメールは Google グループのグループ「日本Asteriskユーザ会」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには asterisk-ug...@googlegroups.com にメールを送信してください。
このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/asterisk-ug/1a4a2738-b212-480c-ab95-76961720774b%40googlegroups.com にアクセスしてください。
Takao Takahashi
Kinichiro Fujikawa
May 4, 2020, 12:46:20 AM5/4/20
to 日本Asteriskユーザ会
私もそういう経験があります。ポートを明示的に開けているつもりはないのですが。
現象は毎日5~6回無言電話がかかってくるのですが、夜中でもかかってきます。
うちではパケットを解析していないので詳細はわかりませんが、
下記のような設定を入れることで回避できました。
不正なSIPパケット受信による無言電話現象の多発について
Why is my phone ringing in the middle of the night/day, but no one is there?
藤川欽一郎
2020年4月15日水曜日 18時35分03秒 UTC+9 高橋隆雄:
2020年4月15日水曜日 18時35分03秒 UTC+9 高橋隆雄:
2020年4月15日水曜日 18時35分03秒 UTC+9 高橋隆雄:
Reply all
Reply to author
Forward
0 new messages