<div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace"><br></div><div class="gmail_default" style="font-family:courier new,monospace">In the past little while, we've seen<br></div><div class="gmail_default" style="font-family:courier new,monospace">
a wave of attacks on asterisk, via the<br></div><div class="gmail_default" style="font-family:courier new,monospace">provisioning.<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">It goes something like this:<br>
<br></div><div class="gmail_default" style="font-family:courier new,monospace">A. scan for IP phones on the internet,<br></div><div class="gmail_default" style="font-family:courier new,monospace">   either via spotting something on port 5060,<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   or via the port 80 web interface for the phone.<br></div><div class="gmail_default" style="font-family:courier new,monospace">   Or, use web sites that scan the internet, and <br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   classify the machines, to make your work shorter.<br></div><div class="gmail_default" style="font-family:courier new,monospace">B. Once you get into the web GUI, get the URL for provisioning.<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   I haven't checked yet... do any phones actually<br></div><div class="gmail_default" style="font-family:courier new,monospace">   allow you to set this, or do any display the<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   current value?<br></div><div class="gmail_default" style="font-family:courier new,monospace">   And, finally, how many phones publish their <br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   own MAC address in the GUI? Or, can you suck this<br></div><div class="gmail_default" style="font-family:courier new,monospace">   out of the returned IP packets?<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">C. Given the URL and the mac, fetch the phones<br></div><div class="gmail_default" style="font-family:courier new,monospace">   provisioning info, including it's sip account<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   info. Use to best advantage.<br></div><div class="gmail_default" style="font-family:courier new,monospace">D. Going further, set up a brute-force probe algorithm,<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   to probe all possible mac addresses for a given <br></div><div class="gmail_default" style="font-family:courier new,monospace">   phone manufacturer, via http requests. After all,<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   those provisioning web servers are fast and efficient,<br></div><div class="gmail_default" style="font-family:courier new,monospace">   aren't they? Collect all possible mac addresses and <br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   grab the provisioning, and now you have a LOT of sip<br></div><div class="gmail_default" style="font-family:courier new,monospace">   accounts. Use to best advantage.<br>
</div><div class="gmail_default" style="font-family:courier new,monospace"><br></div><div class="gmail_default" style="font-family:courier new,monospace">And, professional hacking organizations seem to also follow<br></div>
<div class="gmail_default" style="font-family:courier new,monospace">these rules:<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">a. wait several months for any history of the above activities<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   to roll off the log files. Treat your phone systems like<br></div><div class="gmail_default" style="font-family:courier new,monospace">   fine wine vintage.<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">b. Use multiple (hundreds/thousands) of machines scattered<br>   over the earth to carry out the above probes, and also to<br></div><div class="gmail_default" style="font-family:courier new,monospace">
   use the accounts for generating international calls.<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">In general, using the SIP account info gleaned from these<br></div><div class="gmail_default" style="font-family:courier new,monospace">
kinds of efforts is a bit problematic. You see, to effectively<br></div><div class="gmail_default" style="font-family:courier new,monospace">use your phone system to place calls, they will have to <br></div><div class="gmail_default" style="font-family:courier new,monospace">
set up their own phone system to act like a phone, and<br></div><div class="gmail_default" style="font-family:courier new,monospace">register to the phone system, and then initiate calls.<br></div><div class="gmail_default" style="font-family:courier new,monospace">
Trouble is, your phone is usually already registered, but<br></div><div class="gmail_default" style="font-family:courier new,monospace">can be "bumped off". Your phone will re-register at intervals<br>and bump the hackers, who will again register and bump your<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">phone. This little game of "king of the hill" may show up in<br></div><div class="gmail_default" style="font-family:courier new,monospace">
your Asterisk logs. <br></div><div class="gmail_default" style="font-family:courier new,monospace"><br></div><div class="gmail_default" style="font-family:courier new,monospace">So, these defenses can be employed to stop/ameliorate such <br>
</div><div class="gmail_default" style="font-family:courier new,monospace">hacking efforts:<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">1. Keep your phones behind a firewall. Travellers, beware!<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   Never leave the default login info of the phone at default!<br></div><div class="gmail_default" style="font-family:courier new,monospace">2. Never use the default provisioning URL for the phone,<br>
</div><div class="gmail_default" style="font-family:courier new,monospace">   with it's default URL or password.<br></div><div class="gmail_default" style="font-family:courier new,monospace">3. Use fail2ban, ossec, whatever to stymie any brute force<br>
   mac address searches.<br></div><div class="gmail_default" style="font-family:courier new,monospace">4. Use your firewalls to restrict IP's that can access web,<br></div><div class="gmail_default" style="font-family:courier new,monospace">
   ftp, etc, for provisioning to just those IP's needed to allow<br></div><div class="gmail_default" style="font-family:courier new,monospace">   your phones to provision.<br></div><div class="gmail_default" style="font-family:courier new,monospace">
5. Keep your logs for a couple years.<br></div><div class="gmail_default" style="font-family:courier new,monospace">6. Change your phone SIP acct passwords now, if you haven't <br>   implemented the above precautions yet.<br>
<br><br></div><div class="gmail_default" style="font-family:courier new,monospace">If I missed a previous post on this, forgive me.<br></div><div class="gmail_default" style="font-family:courier new,monospace">Just thought you-all might appreciate a heads-up.<br>
</div><div class="gmail_default" style="font-family:courier new,monospace"><br>murf<br><br></div><div class="gmail_default" style="font-family:courier new,monospace"><br></div><div class="gmail_default" style="font-family:courier new,monospace">
<br></div><div class="gmail_default" style="font-family:courier new,monospace"><br><br clear="all"></div><br>-- <br><div dir="ltr"><br>Steve Murphy<br>ParseTree Corporation<br>57 Lane 17<br>Cody, WY 82414<br>✉  murf at parsetree dot com<br>
☎ 307-899-5535<br><br><br></div>
</div>