On se dépêche !

leafleafMan illustration
Updated on 30 septembre 2024

sipPROT

Temps estimé :9 minutes
Les tentatives d’intrusion par force brute sont assez fréquentes et les systèmes IPBX qui ne sont pas protégés sont sensibles à cette attaque. La conséquence la plus courante de ce type d’attaque réseau peut être :

  Interruption et inaccessibilité du service VOIP
  La possibilité de vol de mot de passe (enregistrement SIP)

Ce type d’attaque sur des systèmes non protégés peut entraîner directement des pertes financières. Pour éviter cette situation, nous avons développé le sipPROT pour PBXware et SERVERware.
sipPROT est une protection contre les attaques SIP par force brute provenant du réseau.

 

Comment fonctionne sipPROT ?

Lorsque sipPROT détecte une attaque, il agit immédiatement en mettant à jour les règles de liste noire et en empêchant l’accès depuis les adresses IP à l’origine de l’attaque. Cela protège votre système de tout autre dommage. Contrairement à d’autres solutions de sécurité similaires, sipPROT est capable de fonctionner avec le trafic SIP en direct et est plus efficace pour arrêter les attaques.

 

De plus, sipPROT dispose d’une fonction de blocage géographique. Cela signifie qu’il compare les adresses IP entrantes avec une base de données d’adresses IP selon leur position géographique, et si l’adresse IP entrante appartient à un pays bloqué, sipPROT bloquera automatiquement l’accès à partir de cette adresse IP. Cette couche de protection supplémentaire garantit que votre système est protégé contre les attaques provenant d’emplacements géographiques spécifiques.
Selon la configuration que vous utilisez, sipPROT peut être installé à deux emplacements possibles :
  • PBXware – si vous exécutez une installation PBXware autonome.
  • SERVERware – Si vous exécutez PBXware en tant que VPS dans un environnement virtuel SERVERware, sipPROT doit être installé sur tous les hôtes SERVERware.

Installer sipPROT GUI

Pour installer sipPROT 5 dans l’interface graphique (GUI) PBXware, vous devez vous assurer que PBXware tourne sous la version 7.x. Si vous avez une ancienne version de PBXware, vous pouvez toujours utiliser sipPROT avec uniquement une prise en charge en ligne de commande.

 

Après avoir installé PBXware 7.0.0, accédez à l’assistant de configuration, port 81.
Le nouvel élément “sipPROT” doit être présent dans le menu de gauche. Cliquez sur cet élément.

 

Cliquez sur installer sipPROT et attendez que le processus d’installation soit terminé.

Cliquez sur l’onglet Services dans le menu de gauche.

Vous pouvez démarrer/recharger/redémarrer/arrêter sipPROT à partir du menu Services.

Lorsque vous cliquez sur le bouton Open sipPROT, un nouvel onglet devrait s’ouvrir et vous serez redirigé vers la page sipPROT – Web UI.

Tableau de bord

Le tableau de bord sipPROT est conçu pour fournir des informations critiques concernant la santé et l’état du système de protection. Voici un bref aperçu de ce que chaque widget du tableau de bord représente :



WidgetDescription
Santé:Ce widget affiche l’état de santé du service sipPROT. Il indique si le service fonctionne correctement ou s’il y a des problèmes. Si des problèmes sont détectés, les utilisateurs sont invités à consulter la page des hôtes pour plus de détails. Un lien direct vers la page des hôtes est également fourni pour un accès rapide.
 Le système est protégé. Le système n’a détecté aucun problème d’intégrité.
 Problèmes détectés : veuillez consulter la page des hôtes via un lien direct ou depuis le menu pour voir les détails.
Attaques par point de terminaisonCe widget affiche une liste d’attaques pour une période de temps spécifiée, aidant à identifier les adresses IP ou les serveurs privés virtuels (VPS) les plus ciblés sur votre serveur. Pour les utilisateurs de PBXware, cela affichera généralement les attaques sur une adresse IP cohérente.
Pays les plus bloquésCe widget affiche des informations sur les pays d’origine des adresses IP bloquées. Il regroupe les adresses IP bloquées en fonction de leur pays d’origine, fournissant ainsi un aperçu des modèles géographiques dans les données d’attaque.
Cartographie des pays les plus bloquésUne carte thermique de géolocalisation qui représente visuellement la densité ou l’intensité des attaques en fonction de l’emplacement géographique. Il utilise un code couleur pour indiquer les zones présentant des concentrations d’attaques plus élevées et plus faibles. Les couleurs plus foncées indiquent des concentrations d’attaques plus élevées, tandis que les couleurs plus claires indiquent des concentrations plus faibles.
 Tous ces widgets sont affectés par le filtre du sélecteur de date et le sélecteur d’heure d’actualisation sur le tableau de bord. Cela signifie que vous pouvez personnaliser les données affichées en fonction de périodes spécifiques et définir la fréquence à laquelle les informations sont mises à jour.
 Chaque widget fournit des informations précieuses sur différents aspects de la sécurité et de la santé du système géré par sipPROT, permettant ainsi aux utilisateurs de surveiller et de répondre plus facilement aux menaces ou problèmes potentiels.

Page de configuration

Sous PBXware > Réglages de l’admin > sipPROT > Réglages, se trouvent les options de configuration pour sipPROT.

Options disponibles

ChampDescription
Protocoles : Choisissez les protocoles à surveiller pour les attaques (TCP, UDP ou les deux).
Ports SIP : Spécifiez un ou plusieurs ports ou plages à surveiller, tels que "5060" ou "5060:5062".
Règle de blocage SIP : Définissez le nombre maximal de tentatives d'enregistrement non autorisées par minute avant de bloquer l'adresse IP d'un attaquant pendant une durée spécifiée.
Temps de blocage dynamique : Choisissez combien de temps les adresses IP bloquées resteront bloquées après avoir empêché une attaque.
Seuil de blocage : Définissez combien de fois une adresse IP sera bloquée dynamiquement avant d'être définitivement bloquée en étant ajoutée à la liste de blocage. La plage acceptable est (1-20).
Agents utilisateurs bloqués : Spécifiez les agents utilisateurs SIP à partir desquels bloquer le trafic entrant. Gardez la liste aussi courte que possible pour éviter d'affecter les performances du système.
Géoprotection : Activez ou désactivez le blocage GEO et sélectionnez l'option Autoriser ou Refuser.
Autoriser : si "Autoriser" est sélectionné, seul le trafic provenant des pays sélectionnés sera autorisé et tout autre trafic sera refusé.
Notez que les ressources auxquelles le serveur doit accéder en dehors de la plage de pays sélectionnée, telles que les serveurs de messagerie ou d'archivage externes, doivent être explicitement autorisées.
Refuser : si "Refuser" est sélectionné, tout le trafic provenant des pays bloqués sera refusé.
Pays bloqués : Sélectionnez les pays à partir desquels bloquer le trafic entrant. sipPROT bloquera toute la plage d'adresses IP appartenant aux pays sélectionnés ou l'autorisera si une méthode différente est sélectionnée ci-dessus
Protections supplémentaires :
TFTP : Protégez votre serveur contre les attaques par force brute TFTP en utilisant une limite de débit. La limite de débit par défaut est de 10 requêtes par minute, avec un maximum de 100 requêtes en rafale.
DNS : Protégez les anciens systèmes du débordement de tampon basé sur la pile glibc dans la faille de sécurité getaddrinfo().
Cette fonctionnalité est activée par défaut et ne devrait pas être modifiée sans les connaissances.
Si vous ne savez pas à quoi sert la fonctionnalité, vous ne devez en aucun cas modifier cette option.
Notifications :
Activer : activez ou désactivez les notifications de sipPROT.
Envoyer un résumé quotidien des attaques : recevez un e-mail avec un rapport quotidien des attaques si cette option est cochée.
Envoyer le journal pour chaque attaque Recevez une notification pour chaque attaque. La valeur par défaut est une fois par heure.
Destinaire des notifications : sipPROT utilise la configuration SMTP fournie par PBXware et nécessite des paramètres SMTP fonctionnels. Le destinataire par défaut des notifications est l'administrateur PBXware.
Les listes Autoriser/Refuser offrent plusieurs options pour gérer la liste, y compris les fonctions de recherche, d’exportation, d’importation et de suppression. Les utilisateurs peuvent également étendre les informations supplémentaires pour chaque enregistrement en un seul clic, fournissant des données précieuses pour mieux gérer leur liste.

1. Gestion de la liste d’autorisations

  • Ajouter (Ajouter manuellement un enregistrement IP à la liste)
  • Exporter (exporter toute la liste vers un fichier CSV)
  • Importer (importer la liste à partir d’un fichier CSV)
  • Supprimer (supprimer l’enregistrement IP sélectionné)

2. Recherche

  • Recherche (Recherche dans la liste par enregistrement IP ou par note)
  • Pays (Recherche d’enregistrements d’adresses IP par pays)
  • Réinitialiser (Effacer le pays et réinitialiser la recherche)

3. Options d’affichage et de rafraîchissement

  • Afficher par page (liste déroulante permettant de sélectionner le nombre d’enregistrements affichés par page)
  • Rafraîchir (L’option “Rafraîchir” de la liste des autorisations est une liste déroulante qui permet aux utilisateurs de définir l’intervalle de rafraîchissement de la liste. Lorsqu’un intervalle de rafraîchissement est défini, la liste est automatiquement rafraîchie à l’intervalle spécifié. Cependant, il est important de garder à l’esprit que cette action peut effacer toutes les sélections en cours dans la liste.)

Au bas de la liste, les utilisateurs peuvent trouver :

4. Nombre sélectionner / total d’entrée

5. Numéros de page avec sélecteur
Également pour plus de commodité, des informations supplémentaires concernant l’adresse IP spécifique peuvent être trouvées en un seul clic sur la flèche au début de l’enregistrement pour développer les informations supplémentaires pour le contenu de l’enregistrement.

Partager

sipPROT

Ou copiez le lien ci-dessous

CONTENU