SBC Security

Mit der Funktion Direct Routing kann eine Firma sehr schnell eine Voice-Funktion über einen lokalen PSTN-Anschluss in der Cloud bereit stellen Voraussetzung ist aber ein kompatibler SBC - Session Border Controller, der die SIP-Verbindung zur Cloud aufrecht erhält. Dieses gerät ist direkt oder per NAT mit einer öffentlichen IP-Adresse versehen. Microsoft schreibt deutlich, dass der Zugriff nur von ausgewählten IP-Adressen seitens Office 365 erfolgen und alle anderen Zugriffe durch eine Firewall unterbunden werden können. Aber das hindert Sie natürlich nicht daran, diese Schutzfunktion offen z lassen. Vielleicht nutzen Sie den gleichen SBC ja auch noch für einen SIP-Trunk zu dem ein oder anderen Telefonie-Provider. Diese Seite beschreibt einen Fall, bei dem ein "offener SBC" einem entsprechenden Angriff unterworfen war, der aber nicht zum Erfolgt geführt hat.

Besser vorsorgen!

Es ist sicher nicht ratsam bis zur Gebührenabrechnung zu warten, um einen Missbrauch zu erkennen. Einige Angreifer möchten einfach nur kostenfrei telefonieren. Andere rufen absichtlich teure Mehrwertnummern an, um dann einen teil der vereinnahmten Gebühren für sich zu erhalten. Wieder andere nutzen den SBC um z.B. interne Nebenstellen mit dem entsprechenden Vertrauensvorsprung eines "internen Anrufers" zu erreichen und andere Angriffe (CEO Fraud u.a.) zu nutzen. Ein offenes SIP-Relay erlaut dem Anrufer natürlich seine Quelle zu verschleiern und der Verdacht fällt auf Sie als Betreiber. Es gibt also mehr als genug Gründe eine Konfiguration mehrfach zu prüfen.

Dabei ist es gar nicht mal schwer ein System sicher zu betreiben. Es gibt ein paar Grundregeln, die nie vergessen werden dürfen

Regel Beschreibung Erfüllt

SBC Erreichbarkeit

Wen nein SBC nur mit ganz bestimmten Gegenstellen spricht, dann ist der erste Schutz eine Filterung auf der IP-Adresse und Port. Das kann und sollte auf der Firewall vor dem SBC erfolgen aber auch auf der SBC selbst gibt es meist umfangreiche Access.-Listen, um den Zugriff auf ein SIP-Interface schon auf IP-Ebene zu reglementieren.

Gegenstelle Verifizieren

Die zweite Komponenten ist die eindeutige Identifizierung der Gegenstelle. Das kann schon die Quell-IP-Adresse sein aber auch eine Anmeldung per Username/Kennwort kann den Zugang zu ihrem SBC sichern. Am liebsten und bei Teams und Skype for Business der Standard ist der Einsatz von TLS mit gegenseitiger Identifizierung durch Zertifikate. So sind sie unabhängig von IP-Adressen, verschlüsselt alle Daten und schützen sich gegen Abhören oder Veränderungen.

Validierung der Adressen

Selbst wenn damit die Steuerungsdaten auf bekannte und qualifiziert Gegenstellen eingeschränkt wurde, ist das ja noch keine Absicherung gegen Missbrauch durch diese Gegenstelle. Insofern sollten Sie zusätzlich die übermittelten Parameter prüfen. Das beginnt bei den verwendeten SIP-Adressen des Anrufers und Ziels, insbesondere die verwenden Rufnummern. Sie können aber noch weiter einen Blick auf verwendete Codecs und Kandidaten werfen und den Einsatz beschränken. Auch Hostheader oder besondere Strings im "Contact"-Feld oder ein "+" in einer Rufnummer sind zu beachten

Routing verifizieren

Die Kernaufgabe eines SBC ist anhand der Zieladresse die Verbindung zum "Next Hop" zu vermitteln. Hier sollt man nicht blind einfach die Zielrufnummer als Kriterium für eine Routing-Entscheidung nutzen, sondern die Quelle mit einbeziehen. Von "intern" darf ein Anruf nach extern erfolgen aber eben von extern nur nach intern aber nicht wieder nach extern. Das ist umso wichtiger, je mehr der SBC als Spinne im Verbund mehrerer SIP-Systeme vermittelt. Dabei sind auch Sonderfälle wie REFER oder "MOVED TEMPORARILY"  zu beachten, damit Weiterleitungen

White/Blocklist

Für gewisse Ziele kann es auch sinnvoll sein, Blocklisten einzurichten. Es gibt ja durchaus Rufnummerngassen wie 0137 oder 0900, die vielleicht pauschal nicht erreichbar sein sollen. Auf der anderen Seite gibt es natürlich Rufnummern wie 110/112, die von überall erreichbar sein müssen. Einen Notruf sollten Sie daher nicht komplett blocken. Aber von extern sollte doch niemand über ihren SBC einen Notruf absetzen.

Eine gewissenhafte Konfiguration ist also für einen SBC immer erforderlich.

Logging und Monitoring

Wer Fehler und Angriffe analysieren will, muss entsprechende Protokolle mitschreiben. Da die meisten SBCs allerdings "Appliances" mit beschränktem Speicher sind, ist eine Ausleitung per SYSLOG auf einen entsprechenden Server ein gängiges Verfahren. Schon hier können Sie erste Ansätze für eine Alarmierung nutzen, z.B. wenn deutlich mehr Zeilen pro Zeiteinheit geschrieben werden als üblich. Natürlich liefern die meisten SBCs auch entsprechende Counter per SNMP o.ä. um die Anzahl der aktiven Verbindungen, der versuchten Verbindungen etc. zu erhalten. Solche Counter sollten unbedingt überwacht werden, um sehr früh zu erkennen, wenn es Abweichungen gibt.

Auch eine Ermittlung der Anrufe pro Zielnummer oder eine Dauer kann ein Alarmzeichen sein, z.B. wenn die Gegenseite "Pro Anruf" bezahlt oder "pro Minute". Bei der Dauer fallen dann natürlich z.B. Einwahl-Konferenzen auf, die man entsprechend im Monitoring dann ausschließen muss.

Aus so einen SYSLOG habe ich auch die folgenden Logs generiert. Anhand einer guten Konfiguration ist bei all den Beispielen kein Schaden entstanden und die versuchten Anrufe wurden alle mit einem "SIP/2.0 500 Server Internal Error" abgelehnt.

IDS auf SBC (Beispiel Audiocodes)

Einige Session Border Controller haben sogar eigene IDS-Funktionen schon implementiert. Audiocodes empfiehlt direkt die Aktivierung ihres "Dynamic Blocklisting of Malicious Activity (IDS)"

Viel einzustellen gibt es hier aber nicht und auch eine Suche nach IDS zeigt erst mal nicht mehr.

Sobald die Funktion aber aktiviert ist, kommen weitere Menüs dazu. Entsprechende Policies geben vor, wie bestimmt Verhaltensweisen zu bewerten sind. Wenn eine Source-IP dann zu häufig "fehler" produziert, dann kommt Sie für eine bestimmte Zeit auf eine Blocklist und eine Benachrichtigung kann erstellt werden.

Das hilft natürlich nicht gegen eine Fehlkonfiguration des SBC, so dass bösartige Verbindungen keinen Fehler erzeugen sondern vermittelt werden.

Security Guidelines SIP Media Gateways and SBCs
https://www.audiocodes.com/media/12929/ltrt-30209-recommended-security-guidelines-ver-72.pdf

INVITE

Exemplarisch habe ich einen INVITE heraus gezogen. Sie sehen in der ersten Zeile schon, dass der Anruf per SIP/UDP angekommen ist. Es gibt zwar immer noch SIP-Trunks, die nicht per TLS oder zumindest per TCP angebunden sind, aber meist kann man UDP komplett blockieren. Hier war UDP ein Eingangstor, welches nach der ersten Regel schon nicht offen sein müsste. Ohne TLS oder Anmeldung kann ich auch die zweite Regel nicht erfüllen.

(     sip_stack)(  44650784)   ---- Incoming SIP Message from 209.126.67.184:60415 to SIPInterface #2 (sipInterface2) UDP TO(#2) ----
INVITE sip:00441613940973@xx.xxx.xx.142 SIP/2.0
Via: SIP/2.0/UDP 209.126.67.184:60415;branch=xxxx
Max-Forwards: 70
From: <sip:star456@xx.xxx.xx.142>;tag=474690616
To: <sip:00441613940973@xx.xxx.xx.142>
Call-ID: 1244255026-422952350-870208774
CSeq: 1 INVITE
Contact: <sip:star456@209.126.67.184:60415>
Content-Type: application/sdp
Content-Length: 211
Allow: ACK, BYE, CANCEL, INFO, INVITE, MESSAGE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE, PUBLISH
User-Agent: 2@#$1
 
v=0
o=star456 16264 18299 IN IP4 192.168.1.83
s=call
c=IN IP4 192.168.1.83
t=0 0
m=audio 25282 RTP/AVP 0 101
a=rtpmap:0 pcmu/8000
a=rtpmap:8 pcma/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-11

Der Anrufer bietet ganz einfach die VoIP-Codes G.711 und DTMF an. Verschlüsselung (SRTP) wird nicht angeboten und auch sonst gibt es keine Sonderwünsche, die eine Gegenstelle schon gleich aufgrund einer Inkompatibilität zur Ablehnung bringen würde. Allenfalls der "UserAgent" könnte einen schlecht programmierten SBC aus der Fassung bringen. Als Angreifer würde ich hier einen einfachen String verwenden.

Auffällig ist hier aber der Media-Endpunkt, der mit 192.168.1.83 angegeben wird. Da hat der Angreifer wohl etwas geschludert, den diese Adresse ist sicher nicht erreichbar.

OPTIONS als Check?

Nicht immer ist es immer ein INVITE. es kann auch mal ein OPTOINS-Request sein:

(     sip_stack)(  44654597)   ---- Incoming SIP Message from 77.247.110.109:5067 to SIPInterface #2 (sipInterface2) UDP TO(#2) ----
OPTIONS sip:100@xx.xxx.xx.142 SIP/2.0
Via: SIP/2.0/UDP 127.0.0.1:5067;branch=z9hG4bK-3630711313;rport
Content-Length: 0
From: "sipvicious"<sip:100@1.1.1.1>;tag=xxxxx
Accept: application/sdp
User-Agent: friendly-scanner
To: "sipvicious"<sip:100@1.1.1.1>
Contact: sip:100@127.0.0.1:5067
CSeq: 1 OPTIONS
Call-ID: xxxx
Max-Forwards: 70

Kurz darauf wurde dann ein INVITE gesendet

(     sip_stack)(  44669733)   ---- Incoming SIP Message from 77.247.110.93:14559 to SIPInterface #2 (sipInterface2) UDP TO(#2) ---- 
INVITE sip:100@xx.xxx.xx.142 SIP/2.0 
Via: SIP/2.0/UDP 77.247.110.93:14559;branch=z9hG4bK-399323099;rport 
Content-Length: 0 
From: "AmooT"<sip:100@1.1.1.1>;tag=xxxx 
Accept: application/sdp 
User-Agent: Cisco 
To: "AmooT"<sip:100@1.1.1.1>
Contact: sip:100@77.247.110.93:14559
CSeq: 1 INVITE 
Call-ID: xxxxx 
Max-Forwards: 70

Hier ist dann der User-Agent mit "Cisco" angegeben aber es gibt keine SDP-Kandidaten. Es ist also noch nicht klar, welche Payload später darüber genutzt wird.

Anrufmuster in 105 Versuchen

Dieser INVITES war natürlich nicht der einzige Versuch. Aus den Logs habe ich 105 Anrufe innerhalb einer Stunde ermittelt, die alle von zwei Source-IP-Adressen gekommen sind. Interessant sind die verschiedenen Muster für SIP-URIs, mit denen der Anrufer versucht hat, einen Weg nach draußen zu finden.

Time     |SourceIp      |SourcePort|SrcURIBeforeMap            |DstURIBeforeMap              
09:00:05 |209.126.67.184|60415     |star456@xx.xxx.xx.142      |00441613940973@xx.xxx.xx.142 
09:01:04 |209.126.67.184|55263     |star456@xx.xxx.xx.142      |900441613940973@xx.xxx.xx.142
09:01:05 |77.247.110.123|59652     |9991@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:02:00 |209.126.67.184|64337     |star456@xx.xxx.xx.142      |9441613940973@xx.xxx.xx.142  
09:02:10 |77.247.110.123|60457     |9991@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 
09:03:00 |209.126.67.184|56798     |test1000@xx.xxx.xx.142     |000441613940973@xx.xxx.xx.142
09:03:15 |77.247.110.123|55291     |9991@xx.xxx.xx.142         |900442038078122@xx.xxx.xx.142
09:03:55 |209.126.67.184|64208     |test1000@xx.xxx.xx.142     |00441613940973@xx.xxx.xx.142 
09:04:50 |209.126.67.184|56057     |test1000@xx.xxx.xx.142     |900441613940973@xx.xxx.xx.142
09:05:45 |209.126.67.184|49855     |test1000@xx.xxx.xx.142     |9441613940973@xx.xxx.xx.142  
09:06:22 |77.247.110.123|62813     |44444@xx.xxx.xx.142        |00442038078122@xx.xxx.xx.142 
09:06:47 |209.126.67.184|62705     |support123@xx.xxx.xx.142   |000441613940973@xx.xxx.xx.142
09:07:22 |77.247.110.123|52154     |44444@xx.xxx.xx.142        |900442038078122@xx.xxx.xx.142
09:07:41 |209.126.67.184|55235     |support123@xx.xxx.xx.142   |00441613940973@xx.xxx.xx.142 
09:08:32 |209.126.67.184|60415     |support123@xx.xxx.xx.142   |900441613940973@xx.xxx.xx.142
09:09:18 |77.247.110.123|58035     |2001@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:09:26 |209.126.67.184|50790     |support123@xx.xxx.xx.142   |9441613940973@xx.xxx.xx.142  
09:10:22 |77.247.110.123|53015     |2001@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 
09:10:33 |209.126.67.184|62910     |11111222@xx.xxx.xx.142     |000441613940973@xx.xxx.xx.142
09:11:27 |209.126.67.184|56182     |11111222@xx.xxx.xx.142     |00441613940973@xx.xxx.xx.142 
09:11:29 |77.247.110.123|64749     |2001@xx.xxx.xx.142         |900442038078122@xx.xxx.xx.142
09:12:23 |209.126.67.184|64710     |11111222@xx.xxx.xx.142     |900441613940973@xx.xxx.xx.142
09:13:18 |209.126.67.184|57545     |11111222@xx.xxx.xx.142     |9441613940973@xx.xxx.xx.142  
09:13:23 |77.247.110.123|55819     |8001@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:14:31 |77.247.110.123|50113     |8001@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 
09:15:36 |77.247.110.123|62813     |8001@xx.xxx.xx.142         |900442038078122@xx.xxx.xx.142
09:17:31 |77.247.110.123|56207     |88888@xx.xxx.xx.142        |000442038078122@xx.xxx.xx.142
09:18:00 |209.126.67.184|57004     |111112222@xx.xxx.xx.142    |000441613940973@xx.xxx.xx.142
09:18:37 |77.247.110.123|65320     |88888@xx.xxx.xx.142        |00442038078122@xx.xxx.xx.142 
09:18:53 |209.126.67.184|62673     |111112222@xx.xxx.xx.142    |00441613940973@xx.xxx.xx.142 
09:19:14 |145.131.159.59|5060      |0623861583@172.31.82.49    |889456000@xx.xxx.xx.142      
09:19:43 |77.247.110.123|65220     |88888@xx.xxx.xx.142        |900442038078122@xx.xxx.xx.142
09:19:47 |209.126.67.184|54621     |111112222@xx.xxx.xx.142    |900441613940973@xx.xxx.xx.142
09:20:43 |209.126.67.184|65002     |111112222@xx.xxx.xx.142    |9441613940973@xx.xxx.xx.142  
09:21:35 |77.247.110.123|54520     |6001@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:21:50 |209.126.67.184|64072     |1111122222@xx.xxx.xx.142   |000441613940973@xx.xxx.xx.142
09:22:41 |77.247.110.123|59553     |6001@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 
09:22:46 |209.126.67.184|59646     |1111122222@xx.xxx.xx.142   |00441613940973@xx.xxx.xx.142 
09:23:42 |209.126.67.184|53900     |1111122222@xx.xxx.xx.142   |900441613940973@xx.xxx.xx.142
09:23:46 |77.247.110.123|53565     |6001@xx.xxx.xx.142         |900442038078122@xx.xxx.xx.142
09:24:35 |209.126.67.184|61018     |1111122222@xx.xxx.xx.142   |9441613940973@xx.xxx.xx.142  
09:25:29 |209.126.67.184|61625     |111112222233333@xx.xxx.xx.1|000441613940973@xx.xxx.xx.142
09:25:38 |77.247.110.123|51672     |4001@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:26:21 |209.126.67.184|53424     |111112222233333@xx.xxx.xx.1|00441613940973@xx.xxx.xx.142 
09:26:46 |77.247.110.123|60600     |4001@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 
09:27:14 |209.126.67.184|62354     |111112222233333@xx.xxx.xx.1|900441613940973@xx.xxx.xx.142
09:27:54 |77.247.110.123|53887     |4001@xx.xxx.xx.142         |900442038078122@xx.xxx.xx.142
09:28:05 |209.126.67.184|54288     |111112222233333@xx.xxx.xx.1|9441613940973@xx.xxx.xx.142  
09:29:09 |209.126.67.184|55737     |11111223@xx.xxx.xx.142     |000441613940973@xx.xxx.xx.142
09:29:46 |77.247.110.123|53874     |4001@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:30:06 |209.126.67.184|64000     |11111223@xx.xxx.xx.142     |00441613940973@xx.xxx.xx.142 
09:30:49 |77.247.110.123|58569     |4001@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 
09:31:00 |209.126.67.184|55837     |11111223@xx.xxx.xx.142     |900441613940973@xx.xxx.xx.142
09:31:56 |209.126.67.184|49341     |11111223@xx.xxx.xx.142     |9441613940973@xx.xxx.xx.142  
09:31:57 |77.247.110.123|56578     |4001@xx.xxx.xx.142         |900442038078122@xx.xxx.xx.142
09:33:00 |209.126.67.184|49376     |1111222@xx.xxx.xx.142      |000441613940973@xx.xxx.xx.142
09:33:51 |77.247.110.123|63847     |9001@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:33:55 |209.126.67.184|59282     |1111222@xx.xxx.xx.142      |00441613940973@xx.xxx.xx.142 
09:34:50 |209.126.67.184|52127     |1111222@xx.xxx.xx.142      |900441613940973@xx.xxx.xx.142
09:34:58 |77.247.110.123|50922     |9001@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 
09:35:46 |209.126.67.184|60137     |1111222@xx.xxx.xx.142      |9441613940973@xx.xxx.xx.142  
09:36:03 |77.247.110.123|60326     |9001@xx.xxx.xx.142         |900442038078122@xx.xxx.xx.142
09:36:05 |77.247.110.93 |14559     |100@1.1.1.1                |100@xx.xxx.xx.142            
09:36:45 |209.126.67.184|50919     |11112222@xx.xxx.xx.142     |000441613940973@xx.xxx.xx.142
09:37:37 |209.126.67.184|57911     |11112222@xx.xxx.xx.142     |00441613940973@xx.xxx.xx.142 
09:38:05 |77.247.110.123|55482     |9001@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:38:32 |209.126.67.184|50514     |11112222@xx.xxx.xx.142     |900441613940973@xx.xxx.xx.142
09:39:11 |77.247.110.123|62016     |9001@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 
09:39:27 |209.126.67.184|59944     |11112222@xx.xxx.xx.142     |9441613940973@xx.xxx.xx.142  
09:40:16 |77.247.110.123|62589     |9001@xx.xxx.xx.142         |900442038078122@xx.xxx.xx.142
09:40:37 |209.126.67.184|53855     |111122222@xx.xxx.xx.142    |000441613940973@xx.xxx.xx.142
09:41:27 |209.126.67.184|58073     |111122222@xx.xxx.xx.142    |00441613940973@xx.xxx.xx.142 
09:42:08 |77.247.110.123|64339     |9001@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:42:26 |209.126.67.184|52657     |111122222@xx.xxx.xx.142    |900441613940973@xx.xxx.xx.142
09:43:17 |77.247.110.123|55135     |9001@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 
09:43:24 |209.126.67.184|61644     |111122222@xx.xxx.xx.142    |9441613940973@xx.xxx.xx.142  
09:44:18 |209.126.67.184|52934     |111122223@xx.xxx.xx.142    |000441613940973@xx.xxx.xx.142
09:44:24 |77.247.110.123|52232     |9001@xx.xxx.xx.142         |900442038078122@xx.xxx.xx.142
09:45:14 |209.126.67.184|61830     |111122223@xx.xxx.xx.142    |00441613940973@xx.xxx.xx.142 
09:46:08 |209.126.67.184|64493     |111122223@xx.xxx.xx.142    |900441613940973@xx.xxx.xx.142
09:46:15 |77.247.110.123|60018     |1234567@xx.xxx.xx.142      |000442038078122@xx.xxx.xx.142
09:47:01 |209.126.67.184|52620     |111122223@xx.xxx.xx.142    |9441613940973@xx.xxx.xx.142  
09:47:18 |77.247.110.123|62089     |1234567@xx.xxx.xx.142      |00442038078122@xx.xxx.xx.142 
09:48:06 |209.126.67.184|52768     |1111222233@xx.xxx.xx.142   |000441613940973@xx.xxx.xx.142
09:48:27 |77.247.110.123|59131     |1234567@xx.xxx.xx.142      |900442038078122@xx.xxx.xx.142
09:49:01 |209.126.67.184|61801     |1111222233@xx.xxx.xx.142   |00441613940973@xx.xxx.xx.142 
09:49:56 |209.126.67.184|52675     |1111222233@xx.xxx.xx.142   |900441613940973@xx.xxx.xx.142
09:50:19 |77.247.110.123|58425     |12345678@xx.xxx.xx.142     |000442038078122@xx.xxx.xx.142
09:50:51 |209.126.67.184|61471     |1111222233@xx.xxx.xx.142   |9441613940973@xx.xxx.xx.142  
09:51:31 |77.247.110.123|59469     |12345678@xx.xxx.xx.142     |00442038078122@xx.xxx.xx.142 
09:51:54 |209.126.67.184|58352     |111122223333@xx.xxx.xx.142 |000441613940973@xx.xxx.xx.142
09:52:34 |77.247.110.123|56031     |12345678@xx.xxx.xx.142     |900442038078122@xx.xxx.xx.142
09:52:48 |209.126.67.184|50972     |111122223333@xx.xxx.xx.142 |00441613940973@xx.xxx.xx.142 
09:53:41 |209.126.67.184|58708     |111122223333@xx.xxx.xx.142 |900441613940973@xx.xxx.xx.142
09:54:27 |77.247.110.123|53220     |123456789@xx.xxx.xx.142    |000442038078122@xx.xxx.xx.142
09:54:37 |209.126.67.184|51595     |111122223333@xx.xxx.xx.142 |9441613940973@xx.xxx.xx.142  
09:55:29 |77.247.110.123|53963     |123456789@xx.xxx.xx.142    |00442038078122@xx.xxx.xx.142 
09:55:35 |209.126.67.184|51362     |1111111111111@xx.xxx.xx.142|000441613940973@xx.xxx.xx.142
09:56:35 |209.126.67.184|60940     |1111111111111@xx.xxx.xx.142|00441613940973@xx.xxx.xx.142 
09:56:38 |77.247.110.123|61879     |123456789@xx.xxx.xx.142    |900442038078122@xx.xxx.xx.142
09:57:31 |209.126.67.184|52844     |1111111111111@xx.xxx.xx.142|900441613940973@xx.xxx.xx.142
09:58:27 |209.126.67.184|61432     |1111111111111@xx.xxx.xx.142|9441613940973@xx.xxx.xx.142  
09:58:30 |77.247.110.123|49802     |9000@xx.xxx.xx.142         |000442038078122@xx.xxx.xx.142
09:59:34 |209.126.67.184|60959     |1014@xx.xxx.xx.142         |000441613940973@xx.xxx.xx.142
09:59:39 |77.247.110.123|56608     |9000@xx.xxx.xx.142         |00442038078122@xx.xxx.xx.142 

Als Gegenstellen sind dabei immer Rufnummern in UK bei Manchester im Fokus, wobei es da eine Bindung zur anrufenden Gegenstelle gibt.

Source-IP (DNS) Region des Clients Ziel-Rufnummer Ziel

209.126.67.184 (N184.datasoft.ws )

AS6428 St Louis, Minnesota, US

+44(161)3940973

UK, Manchester

77.247.110.123 (-)

AS209299 Amsterdam, NL oder Reykjavik, Island

+44(203)8078122

UK, Greater London

So gesehen ist es nicht ein einzelner Missbrauchsversuch, sondern zwei Systeme versuchen in ähnlicher Weise das System auszutricksen. Mich wundert allerdings, dass es keine Anrufversuch an 01144xxx gibt, da in den USA ja internationale Gespräche mit einer 011 beginnen.

Ergebnis

Wenn Sie einen SBC "am Internet" betreiben, werden Sie immer diese Versuche sehen. Das unterscheidet sich wesentlich von einem WebServer oder Mailserver, die auch regelmäßig "geprobt" werden. Teilweise durch "Anfänger", die mit einem Werkzeug wie NMAP einfach mal "das Internet scannen". Aber sie sollten sich nicht darauf verlassen, dass es dabei bleibt. Wenn ein SBC falsch konfiguriert ist, und von fremden Clients Befehle annimmt, die letztlich eine externe Rufnummer anrufen, dann können sehr schnell hohe Kosten entstehen oder sie als Störer verantwortlich gemacht werden.

Dagegen hilft nur eine "gute" Konfiguration, denn alle möglichen Fälle können Sie nur sehr schwer testen. Eine Überwachung der Funktion ist auf jeden Fall ratsam. Damit Missbrauch bemerkt wird, ehe der Schaden größer wird und nebenbei bekommen Sie so auch mit, wenn die legitime Nutzung gestört ist.

Weitere Links