cisco 1841 e sipvicious

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
zerokol
n00b
Messaggi: 6
Iscritto il: mer 12 nov , 2008 11:18 am

Buonasera, cercherò di spiegare nel miglior modo possibile il problema...nella speranza che qualcuno possa aiutarmi a comprendere. La rete è così composta:cisco 1841 adventerprisek9-mz.151-4.M10 dietro un 3560G e una una VM esxi che tra le altre guest machine ha una debian con su asterisk, che ascolta su porta non standard. Queste sono le acl che governano questo particolare servizio:

230 permit udp host <SIP PROVIDER> range 5060 5061 host X.X.X.X eq 20100 (42875 matches)
980 deny udp any any range 5060 5061 log
990 deny udp any host x.x.x.x eq 20100 log
1000 deny tcp any host x.x.x.x eq 20100 log
Queste ACL sono applicate sull'interfaccia Di1 (WAN) (adsl 7mbit pppoe).
Fino ad oggi non mi sono mai dovuto preoccupare..(molta fortuna ok ;) ) ma l'ultimo attacco mi ha lasciato letteralmente senza fiato! Ok sono stato "graziato" da password robuste ma l'attacker è riuscito ad entrare (brrrrrrrrrrrrrrr che brutto termine :) ) nelle mie difese senza nessun problema... ecco un estratto dei miei log tratti da Onion Sec :

REGISTER sip:10.100.100.7:15060 VaxSIPUserAgent/3.1 Unauthorized 1485041272.899124|CSXDkNxoQljS3k7P2|195.154.172.205|5071|10.100.100.7|15060|0|REGISTER|sip:10.100.100.7:15060|-|"4328" <sip:4328@[x.x.x.x (mio IP ):1025]:5060>|"4328" <sip:[email protected] (mio IP )[:1025]:5060>|"4328" <sip:4328@[x.x.x.x (mio IP ):1025]:5060>|"4328" <sip:4328@[x.x.x.x (mio IP ):1025]:5060>;tag=as7ba3971c|-|[email protected] (mio IP ):1025|1 REGISTER|-|SIP/2.0/UDP 195.154.172.205:5071|SIP/2.0/UDP 195.154.172.205:5071|VaxSIPUserAgent/3.1|401|Unauthorized|-|0|0|- tenete presente che ho 29000 logs di questo tipo!! Allora posso dire che :Secast (da me configurato) NON ha funzionato!! quindi 5-- al sottoscritto...poi questo tipo mi ha "trapassato" (dio che orrore...) e vorrei sapere che cosa ho sbagliato! Grazie in anticipo a chi avrà la pazienza di aiutarmi!
punker
Cisco fan
Messaggi: 39
Iscritto il: mer 17 lug , 2013 10:58 pm

Non sono un esperto di sicurezza , ma potrebbe essere un exploit!!!
Rispondi