Вы здесь

Предотвращение взлома Toll-Fraud

Toll-Fraud - это когда злоумышленник через ваш маршрутизатор звонит туда куда ему вздумается за ваш счет.
Риск Toll-Fraud имеется если ваш голосовой роутер смотрит наружу.

Для предотвращение Toll Fraud выполните следующие шаги, из них первые два обязательны:
1) Обновить IOS минимум до версии 15.1(2)T

2) Ввести команды:

voice service voip ip address trusted list ipv4 192.168.0.0 255.255.0.0 ipv4 172.16.0.0 255.240.0.0 ipv4 10.0.0.0 255.0.0.0

Эти команды разрешают принимать звонки только с указанных подсетей. Обычно злоумышленник находится снаружи.
Теперь даже при открытых портах злоумышленник не сможет совершить звонок.

3) Перекройте доступ к маршрутизатору по голосовым портам. Это можно сделать либо установкой Zone Based Firewall, либо повестить несложный access-list на внешний интерфейс:

ip access-list extended prevent_toll_fraud_acl deny udp any any eq 2427 log deny tcp any any eq 2428 log deny tcp any any range 1718 1720 log deny tcp any any eq 1731 log deny tcp any any eq 2000 log deny tcp any any eq 5060 log deny udp any any eq 5060 log permit ip any any ! interface FastEthernet0/0/0 ip access-group prevent_toll_fraud_acl in

Для Zone Based Firewall команды будут примерно следующие:

ip access-list extended acl_selfaccess permit tcp any any eq 22 ! class-map type inspect match-any cm_selfaccess match access-group name acl_selfaccess match protocol icmp ! policy-map type inspect pm_outside-self class type inspect cm_selfaccess inspect class class-default drop ! zone-pair security outside-self source outside destination self service-policy type inspect pm_outside-self

4) Просканируйте маршрутизатор на предмет открытых портов, например с помощью nmap. Скан не должен выявить открытых портов H.323, SIP или SCCP.

Вариант для ZBF включая GRE + доступ от роутера наружу.

ip access-list extended acl_GRE-PROTOCOL permit gre any any class-map type inspect match-all cm_GRE-PROTOCOL match access-group name acl_GRE-PROTOCOL ip access-list extended acl_selfaccess_out permit ip any any ! class-map type inspect match-any cm_selfaccess_in match access-group 23 match protocol icmp ! class-map type inspect match-any cm_selfaccess_out match access-group name acl_selfaccess_out policy-map type inspect pm_outside-self class type inspect cm_GRE-PROTOCOL pass class type inspect cm_selfaccess_in inspect class class-default drop ! policy-map type inspect pm_self-outside class type inspect cm_GRE-PROTOCOL pass class type inspect cm_selfaccess_out inspect class class-default drop zone-pair security outside-self source outside destination self service-policy type inspect pm_outside-self zone-pair security self-outside source self destination outside service-policy type inspect pm_self-outside

Проверка работы Toll-Fraud

Проверка текущей конфигурации:
show ip address trusted list

obncube2951#show ip address trusted list IP Address Trusted Authentication Administration State: UP Operation State: UP IP Address Trusted Call Block Cause: call-reject (21) VoIP Dial-peer IPv4 Session Targets: Peer Tag Oper State Session Target -------- ---------- -------------- 415 UP ipv4:192.168.254.11 500 UP ipv4:192.168.254.11 IP Address Trusted List: ipv4 212.53.40.40 255.255.255.255 ipv4 192.168.254.11 255.255.255.255

Для лога можно на постоянку включить:
voice iec syslog
Тогда в лог будут валиться сообщения типа:

Nov 25 06:41:45.239: %VOICE_IEC-3-GW: Application Framework Core: Internal Error (Toll fraud call rejected): IEC=1.1.228.3.31.0 on callID 3435 GUID=F521527D73A411E496AF8C7FE7052F09

Либо сделать дебаг:
debug voip ccapi inout
обнаружит следующее:

Try with the demoted called number 140810972595082217 Nov 25 06:07:13.637: %VOICE_IEC-3-GW: Application Framework Core: Internal Error (Toll fraud call rejected): IEC=1.1.228.3.31.0 on callID 3423 GUID=225C02D773A011E496878C7FE7052F09 Nov 25 06:07:13.637: //3423/225C02D79687/CCAPI/ccCallSetContext: Context=0xA47524C Nov 25 06:07:13.637: //3423/225C02D79687/CCAPI/cc_process_call_setup_ind: >>>>CCAPI handed cid 3423 with tag 0 to app "_ManagedAppProcess_TOLLFRAUD_APP" Nov 25 06:07:13.637: //3423/225C02D79687/CCAPI/ccCallDisconnect: Cause Value=21, Tag=0x0, Call Entry(Previous Disconnect Cause=0, Disconnect Cause=0) Nov 25 06:07:13.637: //3423/225C02D79687/CCAPI/ccCallDisconnect: Cause Value=21, Call Entry(Responsed=TRUE, Cause Value=21)

Также нужно иметь в виду следующий момент:
If you have dial-peers configured with session target, calls from those IPs will be accepted even if there is no trusted list configured.

Комментарии

Аватар пользователя Alexandr.Pronin

День добрый, поясните, пожалуйста, с toll-fraud - IP Address Trusted List: - указывать сети с которых идут вызовы, т.е. ip address CUCM? Или сети ip address ip phones?

Там нужно указать только дружественные адреса SIP провайдера. CUCM необязательно, т.е. если они фигурируют в диалпирах, к ним автоматом есть доверие

Аватар пользователя Alexandr.Pronin

понятно, спасибо.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image