Re: [FRnOG] [TECH] Re: Filtrage anti-5060to5060 sur clients Livebox Pro
Le 07/10/15 17:34, David Ponzone a écrit : Episode 2: A nouveau, plus de communications SIP possible depuis le client, malgré mon changement de port source sur l’équipement du client. Ca a donc tenu quelques heures. J’ai rechangé le port source en mettant un port aléatoire entre 5500 et 5900, et ça remarche. Il y a quelque chose de pourri au royaume de Livebox… Quelqu’un sait s’il y a une sorte d’IDS intégré à la Livebox Pro v3, qui pourrait éventuellement prendre certains paquets SIP entre les 2 équipements pour une attaque ? J’ai pas d’autres idées pour le moment. J'ai pas suivi le thread, mais oui je me rappelle de source sur que la livebox fait des trucs très laid avec le sip. Question : est ce que le port destination est 5060 ou pas ? parce que des alg sip pourri j'en ai vu des tonnes. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Filtrage anti-5060to5060 sur clients Livebox Pro
Ouais, 5060 en destination. Moi aussi j’en ai vu des pourris, mais qui te massacrent ton trafic tout de suite, pas qui attendent vicieusement quelques heures en te laissant croire que ça marche nickel :) Le 7 oct. 2015 à 17:45, Raphael Mazeliera écrit : > > > Le 07/10/15 17:34, David Ponzone a écrit : >> Episode 2: >> >> A nouveau, plus de communications SIP possible depuis le client, malgré mon >> changement de port source sur l’équipement du client. >> Ca a donc tenu quelques heures. >> J’ai rechangé le port source en mettant un port aléatoire entre 5500 et >> 5900, et ça remarche. >> >> Il y a quelque chose de pourri au royaume de Livebox… >> >> Quelqu’un sait s’il y a une sorte d’IDS intégré à la Livebox Pro v3, qui >> pourrait éventuellement prendre certains paquets SIP entre les 2 équipements >> pour une attaque ? >> J’ai pas d’autres idées pour le moment. >> > > J'ai pas suivi le thread, mais oui je me rappelle de source sur que la > livebox fait des trucs très laid avec le sip. > Question : est ce que le port destination est 5060 ou pas ? parce que des alg > sip pourri j'en ai vu des tonnes. > > -- > Raphael Mazelier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Filtrage anti-5060to5060 sur clients Livebox Pro
si ça fonctionne dans un stunnel, ça commencera a serieusement ressembler a du DPI. Le 07/10/2015 17:34, David Ponzone a écrit : > Episode 2: > > A nouveau, plus de communications SIP possible depuis le client, malgré mon > changement de port source sur l’équipement du client. > Ca a donc tenu quelques heures. > J’ai rechangé le port source en mettant un port aléatoire entre 5500 et 5900, > et ça remarche. > > Il y a quelque chose de pourri au royaume de Livebox… > > Quelqu’un sait s’il y a une sorte d’IDS intégré à la Livebox Pro v3, qui > pourrait éventuellement prendre certains paquets SIP entre les 2 équipements > pour une attaque ? > J’ai pas d’autres idées pour le moment. > > Le 5 oct. 2015 à 14:27, David Ponzonea écrit : > >> Je viens de constater une bizarrerie chez un client qui a un trunk SIP >> derrière une Livebox Pro (oui je sais…). >> J’ai l’impression qu’Orange sur son réseau (ou une portion de son réseau) >> filtre ce qui a comme port source et destination 5060. >> Quand j’ai mis 5061 comme port destination sur l’équipement du client, je >> voyais arriver chez moi: >> UDP:5060 -> UDP:5061 >> Quand j’ai remis 5060 comme port destination: >> rien >> Quand j’ai dit à l’équipement d’utiliser 5080 comme port source, je recevais: >> UDP:5080 -> UDP:5060 >> >> Quelqu’un a de l’info précise là-dessus ? Ils hijackent les comms UDP >> 5060->5060 en considérant que ça vient forcément des ports FXS de la box ? >> >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Re: Filtrage anti-5060to5060 sur clients Livebox Pro
Le 07/10/15 17:49, David Ponzone a écrit : Ouais, 5060 en destination. Moi aussi j’en ai vu des pourris, mais qui te massacrent ton trafic tout de suite, pas qui attendent vicieusement quelques heures en te laissant croire que ça marche nickel :) Malheureusement cela existe. Il est fort probable que la livebox ait laissé l'alg sip d'activé par défaut (ou tuné en fonction de leurs besoins). Si tu veux t'assurer que cela vient de la livebox il te faudrait pouvoir utiliser un port destination différent de 5060. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/