Dlaczego warto sprawdzać głuche telefony?

Ochroniarz

Zdarzało się Wam odbierać głuche telefony? Gdy po podniesieniu słuchawki dzwoniącego aparatu była cisza? Zwykle takie połączenia bagatelizujemy, zrzucamy je na konsultantów z call center, którym automat nie zestawił połączenia, na operatora telekomunikacyjnego, telefon czy źle działającą centralę. Tymczasem zawsze warto sprawdzić, co jest powodem głuchych telefonów, zwłaszcza jeśli pojawiają się seriami. Przyczyna bowiem może być błaha, ale konsekwencje – poważne. Oto, co przytrafiło się naszemu klientowi.

 

Ciągle dzwoni

Otrzymaliśmy od klienta zgłoszenie o dość dziwnym zachowaniu jednego ze zwykłych, analogowych telefonów podłączonych do centrali Libra. Telefon dzwonił. Dzwonienie telefonu samo w sobie nie jest niczym nadzwyczajnym. Natomiast po odebraniu połączenia było głucho. Dziwne było również to, że takie połączenia miały miejsce zawsze po godzinach pracy.

Telefon był obsługiwany przez pracownika ochrony. Z jego relacji wynikało, że przy takich połączeniach na wyświetlaczu pojawiały się nietypowe numery. Nie pamiętał ich dokładnie, ale zwrócił uwagę, że czasem było to „0” na środku wyświetlacza lub bardzo długie numery rozpoczynające się od kilku zer.

Dalej dowiedzieliśmy się, że jak już telefon zaczął dzwonić, to nie chciał przestać. Po odebraniu połączenia i odłożeniu słuchawki dzwoniło ponownie. Ochroniarz radził sobie z tym uciążliwym dzwonieniem w ten sposób, że… wyciągał z aparatu wtyczkę linii. Jednak gdy podłączał ją z powrotem, aparat po kilku lub kilkunastu minutach odzywał się znowu. Dopiero po odczekaniu dłuższego czasu, np. godziny, ponownie podłączony telefon przestawał dzwonić.

Problem: telefon podłączony do centrali dzwonił poza godzinami pracy. Po podniesieniu słuchawki było głucho, a po jej odłożeniu aparat dzwonił ponownie. Na wyświetlaczu pojawiały się zera lub długie numery z kilkoma zerami.

Ze zgłoszeniem usterki klient zwlekał dość długo. Na początku wymienił telefon. Podejrzewał, że to z nim jest coś nie tak, ponieważ inne telefony podłączone do centrali (a była ich prawie setka) zachowywały się poprawnie. Poza tym dzwonienie pojawiało się dzień po dniu w godzinach popołudniowych i nocnych, a następnie znikało na tydzień lub dłużej, by znów powrócić.

W końcu klient nie wytrzymał i zgłosił usterkę u swojego operatora telekomunikacyjnego. Ten nie znalazł nieprawidłowości w działaniu świadczonych usług i stwierdził, że przyczyna może tkwić w centrali telefonicznej.

 

Ale czemu dzwoni, skoro nie powinno?

Podjęliśmy się zdiagnozowania problemu. Biorąc pod uwagę opis sytuacji, trudno było sobie wyobrazić, co mogłoby się dziać z centralą telefoniczną, aby sama wysyłała takie dzwonki do jednego telefonu i kończyła je głuchym połączeniem. Niemniej, ponieważ w technice różne rzeczy są możliwe, rozpoczęliśmy systematyczne badanie tego przypadku.

Stwierdziliśmy, że PBX Server Libra obsługuje jedno łącze SIP trunk od operatora telekomunikacyjnego. Do centrali były podłączone telefony analogowe i cyfrowe systemowe. Telefon, którego dotyczyło zdarzenie, był analogowy.

Następnie sprawdziliśmy konfigurację centrali. Do użytkownika były kierowane połączenia zgodnie z ustawieniami w tablicy MSN/DDI (rys. 1) w taki sposób, że jednemu numerowi publicznemu był przypisany tylko jeden numer wewnętrzny (pracownik ochrony miał numer 111):

Rys. 1. W tablicy MSN/DDI jednemu numerowi publicznemu odpowiadał tylko jeden odbiorca dzwonienia.
Rys. 1. W tablicy MSN/DDI jednemu numerowi publicznemu odpowiadał tylko jeden odbiorca dzwonienia.

W Raporcie z pracy serwera w programie LibraWeb nie było zarejestrowanych żadnych informacji o zamawianych usługach (rys. 2):

Rys. 2. Raport z pracy serwera Libra widoczny w programie LibraWeb - nie widać, aby były zamawiane jakieś usługi.
Rys. 2. Raport z pracy serwera Libra widoczny w programie LibraWeb – nie widać, aby były zamawiane jakieś usługi.

 

Do abonenta nie były też kierowane żadne przeniesienia wywołań ani nie miał włączonej poczty głosowej (rys. 3):

Rys. 3. Przenoszenie wywołań w programie LibraWeb – na numer 111 nie były przenoszone żadne wywołania, nie była też włączona poczta głosowa.
Rys. 3. Przenoszenie wywołań w programie LibraWeb – na numer 111 nie były przenoszone żadne wywołania, nie była też włączona poczta głosowa.

Centrala miała ustawione następujące tryby pracy: „dzień” (tryb B) w godzinach 7-16 i „noc” (tryb A) w godzinach 16-7 w dni powszednie oraz całą dobę dla sobót, niedziel i świąt (rys. 4). O tym, dlaczego warto stosować opisy w ustawieniach programu konfiguracyjnego, pisaliśmy w artykule 10 dobrych praktyk w instalacji i konfiguracji systemów Platan:

Rys. 4. Ustawione tryby pracy: dzienny w godzinach 7–16 w dni robocze, nocny – w pozostałe.
Rys. 4. Ustawione tryby pracy: dzienny w godzinach 7–16 w dni robocze, nocny – w pozostałe.

Z pozoru wydawało się, że dzwonienie telefonu ochroniarza nie wiązało się z różnymi trybami pracy. W tablicy MSN/DDI nie ma przecież możliwości przypisania różnych scenariuszy kierowania połączeń w zależności od dnia i godziny.

 

I czemu dzwoni akurat nocą?

Dalsza analiza konfiguracji przyniosła odpowiedź. W tablicy MSN/DDI dla jednego z numerów publicznych (można go określić jako główny numer do firmy) połączenia były kierowane na Schemat dzwonienia. W schemacie była ustawiona zapowiedź powitalna dla trybu dziennego oraz dokonanie wyboru, gdzie ma być dalej kierowane połączenie.

Bardziej jednak zainteresował nas tryb nocny, w którym zgłaszano występowanie głuchych telefonów. Była w nim ustawiona zapowiedź z informacją o godzinach pracy firmy, a po odtworzeniu komunikatu połączenie było kierowane do pracownika ochrony (rys. 5):

Rys. 5. Kierowanie ruchu w trybie nocnym do pracownika ochrony.
Rys. 5. Kierowanie ruchu w trybie nocnym do pracownika ochrony.

To tłumaczyło, dlaczego telefon dzwoni właśnie u ochroniarza. Pozostało sprawdzić w Grosiku Raport połączeń przychodzących i zobaczyć, kto wykonuje głuche telefony, a dokładniej – z jakiego numeru są to połączenia. Niestety w ostatnim okresie, tj. od otrzymania zgłoszenia do prawie dwóch miesięcy wstecz, rejestracja połączeń przychodzących była wyłączona (rejestrację ustawia się dla danego trybu pracy w zakładce Klasy ruchuRejestracja połączeńPrzychodzące, domyślnie jest wyłączona dla połączeń przychodzących, aby nie zapełniać buforu billingowego).

 

Po śladach

Ponieważ problem dzwoniących telefonów pojawiał się wcześniej, sprawdziliśmy okres, w którym rejestracja na szczęście była włączona przez instalatora. Szukaliśmy w Raporcie połączeń rozmów przychodzących na numer wewnętrzny pracownika ochrony (selekcja na Typ rozmowyprzychodzące – rys. 6 oraz wybór danego numeru – rys. 7), jednak nie było żadnych wywołań kierowanych na ten numer.

Rys. 6. Selekcja połączeń przychodzących w raporcie programu LibraWeb.
Rys. 6. Selekcja połączeń przychodzących w raporcie programu LibraWeb.

 

Rys. 7. Selekcja połączeń przychodzących dla danego abonenta wewnętrznego.
Rys. 7. Selekcja połączeń przychodzących dla danego abonenta wewnętrznego.

Postanowiliśmy przyjrzeć się wszystkim połączeniom przychodzącym do centrali. Tym razem w raporcie pojawiły się rekordy połączeń przychodzących z numerów nieznanych lub bardzo długich, które w większości nie mogły być prawdziwe (rys. 8). Połączenia te nie były kierowane na żaden z numerów DDI obsługiwanych przez SIP trunka oraz centralę. Numery docelowe były również wielocyfrowe.

Rys. 8. Połączenia z nietypowych numerów zarejestrowane w Grosiku kierowane na równie długie numery – to głuche telefony, które odbierał ochroniarz.
Rys. 8. Połączenia z nietypowych numerów zarejestrowane w Grosiku kierowane na równie długie numery – to głuche telefony, które odbierał ochroniarz.

 

Na dobrym tropie

W jaki sposób takie połączenia trafiły więc do centrali? Odpowiedź znaleźliśmy w oknie Uprawnienia linii miejskich. W konfiguracji centrali były utworzone dwa konta VoIP. Jedno z nich służyło do komunikacji z operatorem telekomunikacyjnym. Było prawidłowo skonfigurowane i zarejestrowane. Drugie natomiast… nie służyło w zasadzie niczemu. Nie miało żadnych danych dotyczących operatora, czyli było to konto bez rejestracji (rys. 9). Zapewne przy konfiguracji nie zostało usunięte. 

Rys. 9. Konto VoIP bez wpisanych danych do rejestracji.
Rys. 9. Konto VoIP bez wpisanych danych do rejestracji.

Takie konto bez rejestracji stało się furtką dla nieuprawnionego dostępu dialera. Ten dzwonił prawdopodobnie na adres IP, pod którym centrala była widoczna dla innych urządzeń sieciowych. Wysyłał w protokole SIP ramki z informacją o nieistniejącym numerze DDI. Centrala nie znajdowała w tablicy MSN/DDI odpowiedniego przyporządkowania, kierowała więc połączenia na schemat dzwonienia. W schemacie z kolei w trybie nocnym były one kierowane do ochrony. Tam dzwonił telefon, a po odebraniu oczywiście nikt się nie odzywał.

Rozwiązanie problemu okazało się bardzo proste. Konto bez rejestracji zostało usunięte z konfiguracji centrali. Dodatkowo administrator firmowej sieci komputerowej zablokował wszystkie otwarte porty dla pakietów przychodzących z zewnątrz do centrali. Uciążliwe dzwonienie ustąpiło.

 

Jak tego uniknąć?

W ten sposób można sprawdzić poszczególne elementy konfiguracji, aby znaleźć przyczynę głuchych telefonów. Jak jednak unikać tego typu problemów? Ze względów bezpieczeństwa warto pamiętać o paru najważniejszych zaleceniach. O niektórych z nich pisaliśmy już w artykule 10 dobrych praktyk w instalacji i konfiguracji systemów Platan. Po analizie tego przypadku możemy dodać parę kolejnych.

O czym warto pamiętać:

  1. Centralę podłącz za routerem (za NAT).
  2. Zablokuj w routerze wszystkie porty dla pakietów przychodzących.
  3. Usuwaj niepotrzebne elementy z konfiguracji centrali, a szczególnie nie zostawiaj pustych kont do linii miejskich VoIP (bez rejestracji).
  4. Korzystaj z usług operatorów VoIP oferujących konta z rejestracją za pomocą loginów i haseł, np. z naszych usług Platan SIP trunk.
  5. Nie lekceważ głuchych telefonów i innego nietypowego dzwonienia aparatów podłączonych do centrali.

 

Dlaczego warto sprawdzać głuche telefony – podsumowanie

Tym razem atak nie wyrządził dużej szkody, był tylko uciążliwy dla użytkowników. Mogło jednak być inaczej. Dialer, co widać w raporcie z Grosika, wysyłał różne sekwencje cyfr w nadziei na to, że któraś z nich pozwoli na wydostanie się połączenia tranzytem na zewnątrz. Gdyby doszło do takiej sytuacji, hakerzy mogliby wykonywać tranzytowe połączenia na koszt klienta. To z kolei mogłoby się skończyć wysokim rachunkiem u operatora.

Tak to błaha z pozoru przyczyna, jaką było zostawienie pustego konta VoIP, mogła mieć poważne konsekwencje w postaci nieautoryzowanych połączeń i nieprzewidzianych wydatków. W artykule przedstawiliśmy, jak zbadać, co może być przyczyną głuchych telefonów, oraz jak unikać tego typu zagrożeń.

 

Pisał do Was:
Janusz Macuba

Korekta i oprawa graficzna:
Joanna Lewandowska

PS Jeśli spodobał Ci się ten wpis, pomóż nam go upowszechnić. Udostępnij w mediach społecznościowych, wyślij znajomym. Dziękujemy!

3 Replies to “Dlaczego warto sprawdzać głuche telefony?”

  1. Fajnie się czytało – jak powieść sensacyjną

  2. @ EG Albo jak kryminał 😉 Ciekawe śledztwo, fajnie wyjaśnione wszystko krok po kroku.

    1. Dziękuję za komentarz i pochwały za przeprowadzone śledztwo.

Dodaj komentarz