Re: [FRnOG] [TECH] Re: Filtrage anti-5060to5060 sur clients Livebox Pro

2015-10-07 Par sujet Raphael Mazelier 



Le 07/10/15 17:34, David Ponzone a écrit :

Episode 2:

A nouveau, plus de communications SIP possible depuis le client, malgré mon 
changement de port source sur l’équipement du client.
Ca a donc tenu quelques heures.
J’ai rechangé le port source en mettant un port aléatoire entre 5500 et 5900, 
et ça remarche.

Il y a quelque chose de pourri au royaume de Livebox…

Quelqu’un sait s’il y a une sorte d’IDS intégré à la Livebox Pro v3, qui 
pourrait éventuellement prendre certains paquets SIP entre les 2 équipements 
pour une attaque ?
J’ai pas d’autres idées pour le moment.



J'ai pas suivi le thread, mais oui je me rappelle de source sur que la 
livebox fait des trucs très laid avec le sip.
Question : est ce que le port destination est 5060 ou pas ? parce que 
des alg sip pourri j'en ai vu des tonnes.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Filtrage anti-5060to5060 sur clients Livebox Pro

2015-10-07 Par sujet David Ponzone 
Ouais, 5060 en destination.

Moi aussi j’en ai vu des pourris, mais qui te massacrent ton trafic tout de 
suite, pas qui attendent vicieusement quelques heures en te laissant croire que 
ça marche nickel :)

Le 7 oct. 2015 à 17:45, Raphael Mazelier  a écrit :

> 
> 
> Le 07/10/15 17:34, David Ponzone a écrit :
>> Episode 2:
>> 
>> A nouveau, plus de communications SIP possible depuis le client, malgré mon 
>> changement de port source sur l’équipement du client.
>> Ca a donc tenu quelques heures.
>> J’ai rechangé le port source en mettant un port aléatoire entre 5500 et 
>> 5900, et ça remarche.
>> 
>> Il y a quelque chose de pourri au royaume de Livebox…
>> 
>> Quelqu’un sait s’il y a une sorte d’IDS intégré à la Livebox Pro v3, qui 
>> pourrait éventuellement prendre certains paquets SIP entre les 2 équipements 
>> pour une attaque ?
>> J’ai pas d’autres idées pour le moment.
>> 
> 
> J'ai pas suivi le thread, mais oui je me rappelle de source sur que la 
> livebox fait des trucs très laid avec le sip.
> Question : est ce que le port destination est 5060 ou pas ? parce que des alg 
> sip pourri j'en ai vu des tonnes.
> 
> -- 
> Raphael Mazelier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Filtrage anti-5060to5060 sur clients Livebox Pro

2015-10-07 Par sujet Edouard Chamillard 
si ça fonctionne dans un stunnel, ça commencera a serieusement
ressembler a du DPI.

Le 07/10/2015 17:34, David Ponzone a écrit :
> Episode 2:
>
> A nouveau, plus de communications SIP possible depuis le client, malgré mon 
> changement de port source sur l’équipement du client.
> Ca a donc tenu quelques heures.
> J’ai rechangé le port source en mettant un port aléatoire entre 5500 et 5900, 
> et ça remarche.
>
> Il y a quelque chose de pourri au royaume de Livebox…
>
> Quelqu’un sait s’il y a une sorte d’IDS intégré à la Livebox Pro v3, qui 
> pourrait éventuellement prendre certains paquets SIP entre les 2 équipements 
> pour une attaque ?
> J’ai pas d’autres idées pour le moment.
>
> Le 5 oct. 2015 à 14:27, David Ponzone  a écrit :
>
>> Je viens de constater une bizarrerie chez un client qui a un trunk SIP 
>> derrière une Livebox Pro (oui je sais…).
>> J’ai l’impression qu’Orange sur son réseau (ou une portion de son réseau) 
>> filtre ce qui a comme port source et destination 5060.
>> Quand j’ai mis 5061 comme port destination sur l’équipement du client, je 
>> voyais arriver chez moi:
>> UDP:5060 -> UDP:5061
>> Quand j’ai remis 5060 comme port destination:
>> rien
>> Quand j’ai dit à l’équipement d’utiliser 5080 comme port source, je recevais:
>> UDP:5080 -> UDP:5060
>>
>> Quelqu’un a de l’info précise là-dessus ? Ils hijackent les comms UDP 
>> 5060->5060 en considérant que ça vient forcément des ports FXS de la box ?
>>
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Re: Filtrage anti-5060to5060 sur clients Livebox Pro

2015-10-07 Par sujet Raphael Mazelier 



Le 07/10/15 17:49, David Ponzone a écrit :

Ouais, 5060 en destination.

Moi aussi j’en ai vu des pourris, mais qui te massacrent ton trafic tout de 
suite, pas qui attendent vicieusement quelques heures en te laissant croire que 
ça marche nickel :)



Malheureusement cela existe. Il est fort probable que la livebox ait 
laissé l'alg sip d'activé par défaut (ou tuné en fonction de leurs 
besoins). Si tu veux t'assurer que cela vient de la livebox il te 
faudrait pouvoir utiliser un port destination différent de 5060.




--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/