Warum versucht Microsoft unseren Asterisk zu hacken?
Was heißt es, wenn mit einer Microsoft IP jemand versucht, sich bei unserem Asterisk zu registrieren?
Für unsere Telefonanlage haben wir ein Loch auf port 5060/udp in die Firewall gemacht. Hier ist so eine Beispiel Meldung („company.nat.wan.dynamic“ und „micro.soft.ltd.uk“ sind eigentlich IPv4 Adressen):
[14T10:15:44.191TAI] NOTICE[1099] res_pjsip/pjsip_distributor.c: Request 'REGISTER' from '<sip:851422114@company.nat.wan.dynamic>' failed for 'micro.soft.ltd.uk:5249' (callid: e5f4a171393139e4f7a) - No matching endpoint found
Dachte Microsoft vielleicht, dass wir jemand anderes sind, weil wir dynamische IP Adressen verwenden?
Sollte man dem Firewall vielleicht sagen, dass er nur Paket von der IP unseres SIP Providers durchlassen soll? Oder könnte es dann sein, dass wir nicht alle Gespräche bekommen?
3 Antworten
Keine Aufregung!
Das macht Microsoft (Bing) genauso wie Google und Yahoo und alle anderen auch. Die gucken in fremde Netze rein um festzustellen, ob es dort was zu sehen gibt, was man als Suchmaschine auch anderen empfehlen kann. Das ist alles!
micro.soft.ltd.uk hat sicher nichts mit Microsoft zu tun. Die Domain "soft.ltd.uk" ist für eine Firma namens "Fasthosts Internet Ltd" in Großbritannien registriert.
Kannst Du in der "whois" Datenbank nachsehen; https://www.whois.com/whois/soft.ltd.uk
nein nein... du verstehst mich nicht... ich habe die IPv4 durch diese Scherz Namen ersetzt....
und warum schreibst du deine änderungen nicht mit in die frage rein ,was soll so ein quatsch wenn du es nicht dokumentierst . und dann bei jeder antwort erstmal NEIN NEIN schreiben . das sind mir die liebsten , schreiben müll und regen sich noch auf das man auf den müll reagiert . anstatt wie jeder normaler profi schreibt : Angaben wurden geändert ...
jetzt gesehn?
Das ist keine "Microsoft IP", und die Domain "micro.soft.ltd.uk" gehört nicht Microsoft.
Sollte man dem Firewall vielleicht sagen, dass er nur Paket von der IP unseres SIP Providers durchlassen soll?
Ja.
Oder könnte es dann sein, dass wir nicht alle Gespräche bekommen?
Wenn alle eure Gespräche über euren SIP-Provider kommen, dann werdet ihr auch alle bekommen. Falls ihr hingegen (z.B. über einen ENUM-Eintrag) auch direkt Anrufe entgegennehmt (die dann nicht über euren SIP-Provider laufen), werden diese nicht ankommen.
PS: Wenn ich meine Firewall offen habe, bekomme ich jede Minute ca. 2 SIP-INVITEs aus aller Welt …
werden denn wenigstens die Spachdaten direkt zwischen den Teilnehmern übertragen?
aber wie kommt Microsoft dazu dauernd zu versuchen, sich zu REGISTERn oder INVITEn? Eben haben die von einer anderen Microsoft IPv4 es etwa eine Stunde lang jede Sekunde versucht... wie kaputt ist Microsoft eigentlich? 😋
ach so: die Firewall ist wieder zu...
Optimist. ;) So genau überwachen die das nicht. Bei den Trafficmengen, die da durch fließen, wäre das auch sehr aufwändig und teuer.
Was meinst du, wo die ganzen Spammails, Bots und Trojaner herkommen? Die werden alle von irgendwelchen gehackten Hosting- und vservern verteilt.
Irgendwann beschwert sich dann mal einer beim server Anbieter, dann bekommt der Nutzer, der den Server gemietet hat eine Aufforderung das abzuschalten. Wenn er das nicht tut, wird der Server wahrscheinlich irgendwann gesperrt.
oh mann... wenn ich so arbeiten würde... wenn hier einer mit seinem Projekt nicht voran kommt, weil er irgendeinen Quatsch nebenher macht, dann kann er sich gleich in den nächsten Zug nach Hause setzen...
ich frag mich gerade, ob unser IT-Guy was gebastelt hat, das verhindert, dass einer von unseren Mitarbeitern Spammail verschickt oder Ports scannt... wie kann man das rausfinden, ohne Schaden zu verursachen?
was meinst du mit "Quatsch nebenher machen" in Bezug auf meine Aussage oben?
In einem Unternehmensnetzwerk kann man schon Firewalllösungen installieren, die auf solche Dinge scannen und auch sehr tief in die Pakete reinschauen, ob da irgendwas unerlaubtes drin ist. Das erfordert aber einiges an Rechenleistung, je nach Trafficmenge. Viele Unternehmen lassen Mailversand auch nur über ihren eigenen Mailserver zu, der dann alles vorher prüfen kann.
Das führt aber zu Einschränkungen für den Nutzer, dass er nur genau das machen kann, was das Unternehmen erlaubt. Das kannst du aber bei einem Vserver nicht machen, die sollen die User ja für alles mögliche Nutzen dürfen.
du schreibst „gehackten Hosting- und vservern“... für mich „machen“ die Gehackten dann „Quatsch nebenher“...
ich habe gerade mal von meinem Arbeitsplatz aus die IP eines Mitarbeiters, der VDSL hat, „gescannt“ (also alle Ports von 1 bis 60000 ge-socket-et und connect-et)... hab dann kurz darauf eine eMail vom Firewall bekommen, dass da jemand einen Port Scan gemacht hat, und dass dessen MAC nun ge-blacklist-et wurde... wir sind also besser als Microsoft. 😋
Das kannst du aber bei einem Vserver nicht machen, die sollen die User ja für alles mögliche Nutzen dürfen.
ja, aber der Vserver schickt seinen traffic doch durch einen Router, der z. B. auf viele Ports oder viele IPs achten könnte... das müsste mir der Benutzer dann wenigstens erklären... für Port Scans fallen mir aber gar keine guten Gründe ein... und für mehrere tausend erfolglose INVITEs pro Stunde gibt es bestimmt auch keinen guten Grund....
Port scans sind z.B. fürs Pentesting notwendig und auch andere Dinge, welche wie Angriffe aussehen.
solche invites zu erkennen ist schon deutlich aufwändiger, da das System dazu tief in die Pakete reinschauen muss, was viel Rechenleistung kostet. Bei vielen hundert Gbit/s wird das richtig aufwändig und teuer. Und solche Layer 5-7 Firewalls haben auch eine deutlich höhere Wahrscheinlichkeit von false positives und man muss viel mehr Arbeit in die Pflege der Regelwerke investieren.
Also ich vermute, dass das die Gründe sind, wissen tu ich es tatsächlich nicht. Ich weiß nur, dass sehr oft (v)Server im Internet angegriffen und für solche Sachen missbraucht werden. Manchmal werden auch einfach nur bitcoin miner installiert.
da sich ja mittlerweile jeder einfach so einen Server mieten kann, der keinen Plan hat und dann nach einem Videotutorial einen Minecraft Server installieren kann, sind viele dieser Systeme sehr schlecht abgesichert und leichte Angriffsziele.
ok verstehe...
darum habe ich wohl diese SIP Angriffe auch nur entdeckt, weil ich genau hingesehen habe, weil ich wissen wollte, was passiert, wenn man diese Regel löscht, die alles „drop“t, was an port 5060 geht, wenn es nicht vom SIP Provider ist...
also ist unser Firewall doch nicht schlauer als Microsoft... schade...
man könnte noch darauf hinweisen das das internet durch seine schnelligkeit aufgefallen ist , überall sicherheitsmaßnahmen laufen lassen würde das ganze system drosseln . dazu kommen auch noch hardware kosten etc . man bedenke , das man bei emails von anfang an auf sicherheit komplett verzichtet hatte, den sonst wäre das so langsam wie 1985 gewesen wo man noch über nacht seine fifo boxen abgerufen hat und eine mail quasi 12 stunden weise über den Ozean geschickt wurde :) wichtig ist packete weiter zu transportieren , also wie beim hafen mit den containern , wenn man da bei jedem container erstmal die Zollstelle zum kontrollieren holen würde , hätten wir hier gar kein warenhandel mehr :)
oder: durch bessere Filter würde Bandbreite gespart werden, wodurch alles schneller und umweltfreundlicher wäre...
nein nein... du verstehst mich nicht... ich habe die IPv4 durch diese Scherz Namen ersetzt....
aber doch nicht ne Stunde lang etwa 5000 mal... 😋
das ist bei der alten Möhre ja schon fast ein DOS-Angriff... 😋😋