Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 3 subscribers
  • Views 9759 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall breach via SIP this morning!

mikeshappell
OK, I had a MAJOR SIP breach this morning. Let me start with what I have configured on the firewall. I configured SIP settings under the network security section with a server network of the SIP service provider IP and the client network as my internal VoIP network (all VoIP phones and the PBX are located on their own network). SIP seemed to be working fine.

This morning I had a sheriff show up at my door because there was a 911 hang up from our number.  Looking at the PBX logs I saw that there was a very long list of attempts to access our server and in fact there were four attempts to place international calls and one 911 hangup. The fact that this traffic made it to the PBX means it got through the firewall.  I was under the impression that the security I setup would prevent this. The setup was done using version 8.xx from the web site and was upgraded via up2date to 8.103 and then 8.201.

I then decided to see if I could register a soft phone from outside of my VoIP network and in fact I was able to connect to the PBX from the WAN side of the link, right through the firewall.  Next I disabled the SIP configuration in the firewall and re-enabled it re-checking my settings.  Once I had done this, the settings seemed to take and I was no longer able to connect to the PBX from the WAN side. So while that particular vulnerability "seems" to be solved, I am not sure what caused it.  I am also not clear if I was vulnerable from the start or of it occurred at some point after configuration. However, the breach was significant and very unexpected.

Mike


This thread was automatically locked due to age.
  • 0
    Hi, could you tell us astaro configuration a little bit? Also just as FYI, just because a server is behind astaro doesn't mean you leave it wide open. Have your regular security safeguards and patches in place and then use astaro as a layer on top of your original security. Treat any server open to the web as insecure... always... not matter which firewall you use and protect it using the builtin features first.

    --Bill
  • 0
    if you have something forwarded then whatever that was is exposed to the inet..this is not the fault of the firewall...if the system having the traffic forwarded to it wasn't properly secured Astaro isn't going to help there..IPS only goes so far..no amount of security firewalling/detection can stop something if the server behind the firewall isn't properly secured.
  • 0
    Most PBXs offer some sort of built-in firewall as well as MAC address based connection filtering.  Get these configured and use them.
  • 0 in reply to Scott_Klassen
    There were NO NAT rules defined for SIP traffic, so the server was not suppose to be exposed to the internet. I am not sure how or why SIP traffic was being forwarded from the WAN address to the PBX other than through the firewall.  An insecure password on an extension was definitely a poor choice on our part, but the traffic to the PBX was not suppose to happen. I am not sure why it was being forwarded, but turning off SIP and then turning it back on seems to have (at least for now) stopped this traffic from being forwarded. However, I point it out in case others are in this situation and don't realize that traffic may be being passed from the firewall to the PBX unexpectedly.

    Mike
  • 0 in reply to Scott_Klassen
    Most PBXs offer some sort of built-in firewall as well as MAC address based connection filtering.  Get these configured and use them.


    The PBX is Switchvox and does not offer MAC filtering (unfortunately). The server is on a private (internal) VLAN and only available through the router (Astaro) on the internal networks. There are no NAT rules to forward SIP or RTP traffic, we use the Astaro firewall to open ports as needed for traffic. It was certainly a surprise to see all this inbound traffic today.

    Mike
  • 0
    Hi, have you put the VOIP provider's server IPs in the "SIP Server Networks"?

    Barry
  • 0
    Yes. The SIP IP was the only thing in the SIP Server Networks.

    Mike
  • 0 in reply to mikeshappell
    Do you expect traffic to the PABX from any source or just one source?

    If just one source make sure you have "strict enabled" in the VoIP tab.


    Ian
  • 0
    I have enabled strict as there is only one signaling IP for our provider.  They do have a separate media IP (RTP sessions), but apparently that is not handled (directly) by Astaro, so we have a separate packet filter rule for that IP.

    Mike
  • 0
    I did a little digging and Switchvox does have MAC filtering capability.  As I read it, phones need to be registered, which is done by MAC, and then tied to an extension by an administrator before they can make calls.

    Other info that I found:
    PBX, IP PBX, Phone System - Switchvox on blocking some SIP brute force attacks.

    The RTP port range used by Switchvox are 10000-10500.  There's a few other security guidelines at PBX, IP PBX, Phone System - Switchvox