Se un router ha la porta 5060 aperta, e so che c'è un traffico SIP non criptato che passa attraverso questa porta, come si può approfittare di questo

1

Ok quindi una scansione Nmap su un indirizzo IP mostra che la porta 5060 è aperta. So che 5060 indica che si tratta di traffico SIP. Inoltre, 5060 indica che si tratta di traffico non criptato, dove se la porta era 5061, il traffico sarebbe stato crittografato.

Ho anche la sensazione che 5060 tunnel passino attraverso un sistema telefonico basato sul PBX (probabilmente Asterisk). Penso che il router stia ascoltando il 5060 e inoltrando qualsiasi traffico in entrata puntato alla porta 5060 a questo indirizzo IP a questo sistema telefonico basato su Linux allo scopo di ricevere chiamate.

Le chiamate effettuate vengono inviate tramite la porta 5060 a questo indirizzo IP.

Quali problemi potrebbe causare questa configurazione dal punto di vista della sicurezza? In che modo un utente malintenzionato può trarre vantaggio da queste informazioni.

Grazie

    
posta JMK 22.03.2012 - 12:34
fonte

1 risposta

6

la porta 5060 viene normalmente assegnata al traffico SIP. Tuttavia potrebbe essere o non essere utilizzato per SIP. Probabilmente una semplice scansione nmap verso questa destinazione dovrebbe rivelare molto di più, ad esempio, ecco un output da una scansione nmap dell'impronta digitale del sistema operativo a un adattatore voip

nmap -v -O <ip_address>
...
Host is up (0.0026s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0E:08:CA:**:** (Cisco Linksys)
Device type: VoIP adapter
Running: Sipura embedded
OS details: Sipura SPA-1001 or SPA-3000 VoIP adapter
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=261 (Good luck!)
IP ID Sequence Generation: Incremental

Alcune implementazioni di SIP TLS sembrano utilizzare la porta 5061 per impostazione predefinita, ma il contrario non è necessariamente vero. Ad esempio vedere la porta 5061 non significa necessariamente che sia crittografato. Conosco alcune installazioni SIP in cui vengono utilizzate varie porte per SIP (standard) e tendono a variare tra 5060-5070 ... Ancora, queste porte sono completamente arbitrarie. Puoi scegliere di eseguire un servizio praticamente su qualsiasi porta che desideri. Quindi posso, ad es. esegui SIP TLS sulla porta 80 e SIP semplice sulla porta 23 se scelgo di ... Finché non eseguirai una sorta di analisi / scansione, non sarai in grado di sapere con un grado di certezza sufficientemente elevato.

Per quanto riguarda la sicurezza VOIP / SIP - ci sono probabilmente molti strumenti per la scansione e potenzialmente per sfruttare il VOIP. Una semplice ricerca ha rivelato quegli elementi:

e sono sicuro che puoi trovarne molti altri da sperimentare.

    
risposta data 22.03.2012 - 13:46
fonte

Leggi altre domande sui tag