[PLN] Proteger nuestro gateway SIP

Angel Elena craem en craem.net
Lun Feb 3 10:54:13 CET 2014 

Hola a la lista.

Esta es una simple contribución para que no nos fundan los gateways SIP que están expuestos en internet..


Desde hace tiempo, hay bastante software automatizado, AKA robots, para escanear y atacar a los sistemas de voIP en internet (y en intranet... ). Normalmente, el 70..80% de los ataques vienen con un determinado patrón... véase SipVicious, Friendly Scanner, etc...

Nunca he considerado que el banear ip's o rangos enteros sea una solución efectiva y la ocultación tampoco una defensa, así que, aquí tenéis unas reglas IPtables:


iptables -N SIPDDOS
iptables -A INPUT -i eth0 -p udp -m udp --dport 5060 -m string --string "sundayddr" --algo bm --to 65535 -m comment --comment "deny sundayddr" -j SIPDDOS
iptables -A INPUT -i eth0 -p udp -m udp --dport 5060 -m string --string "sipsak" --algo bm --to 65535 -m comment --comment "deny sipsak" -j SIPDDOS
iptables -A INPUT -i eth0 -p udp -m udp --dport 5060 -m string --string "sipvicious" --algo bm --to 65535 -m comment --comment "deny sipvicious" -j SIPDDOS
iptables -A INPUT -i eth0 -p udp -m udp --dport 5060 -m string --string "friendly-scanner" --algo bm --to 65535 -m comment --comment "deny friendly-scanner" -j SIPDDOS
iptables -A INPUT -i eth0 -p udp -m udp --dport 5060 -m string --string "iWar" --algo bm --to 65535 -m comment --comment "deny iWar" -j SIPDDOS
iptables -A INPUT -i eth0 -p udp -m udp --dport 5060 -m string --string "sip-scan" --algo bm --to 65535 -m comment --comment "deny sip-scan" -j SIPDDOS
iptables -A SIPDDOS -j LOG --log-prefix "firewall-sipddos: " --log-level 6
iptables -A SIPDDOS -j DROP


Esto es una pequeña capa de protección, que no excluye tener deshabilitados los invites anónimos, passwords y users fuertes, default context sin llamadas salientes... el ataque de Flood o fuerza bruta, te lo vas a comer igual, pero por lo menos lo baneas en el propio servidor y evitas a los moscones.

Salu2




--------------------------------
Ángel Elena Medina       _o)
craem en craem.net          / \\
http://blog.craem.net  _(___V
@craem_
--------------------------------

More information about the PLN mailing list