ServerWARE est un outil formidable pour les infrastructures.

13. sipPROT

Temps estimé :11 minutes

Introduction

En fonction de la configuration que vous utilisez, sipPROT peut être installé à deux emplacements possibles :

  • PBXware – Si vous utilisez une installation autonome de PBXware sur du matériel dédié.
  • Hôte SERVERware – Si vous utilisez PBXware en tant que VPS dans un environnement virtuel SERVERware, sipPROT doit être installé sur tous les hôtes SERVERware.

Les tentatives d’intrusion par force brute sont assez fréquentes, et les systèmes de PBX VOIP non protégés sont vulnérables à ce type d’attaque. Les conséquences les plus courantes de ce type d’attaque peuvent être les suivantes :

  • indisponibilité et inaccessibilité du service VOIP
  • Risque de vol de mots de passe (enregistrement SIP)

Ce type d’attaque sur les systèmes non protégés peut entraîner directement des pertes financières. Pour éviter cette situation, nous avons développé le module sipPROT pour PBXware et SERVERware. sipPROT est une protection contre les attaques SIP par force brute provenant du réseau.

Fonctionnement de sipPROT : 

Après la détection d’une attaque, sipPROT met à jour les règles du pare-feu et bloque les adresses IP à partir desquelles l’attaque est détectée pendant une période spécifique. 

Contrairement à d’autres solutions similaires, sipPROT fonctionne avec le trafic SIP en direct et bloque les attaques de manière plus efficace que d’autres.

Configurer sipPROT

Sous sipPROT > Général, vous trouverez les options de configuration pour sipPROT.

Champ Description
Protocoles Spécifiez les protocoles à surveiller pour les attaques TCP, UDP ou les deux.
Ports SIP Spécifiez un ou plusieurs ports ou plages de ports, par exemple 5060 ou 5060:5062.
Règle de blocage SIP Spécifiez le nombre maximum de tentatives d’enregistrement non autorisées par minute avant de bloquer l’adresse IP de l’attaquant pour la durée sélectionnée.
Temps de blocage dynamique Sélectionnez pendant combien de temps les adresses IP resteront bloquées après avoir empêché avec succès l’attaque.
Seuil de blocage Le seuil de blocage définit combien de fois une adresse IP sera bloquée de manière dynamique avant d’être définitivement bloquée en l’ajoutant à la liste des restrictions. La plage acceptable est de (1 à 20).
Agents utilisateurs bloqués Spécifiez l’Agent utilisateur/scanner pour que sipPROT corresponde et bloque le trafic entrant. Le paramètre des scanners contient une liste séparée par des virgules des scanners SIP disponibles (agents utilisateurs) immédiatement arrêtés s’ils sont détectés. IMPORTANT : Essayez de maintenir la liste des scanners aussi courte que possible, car elle pourrait affecter les performances globales du système si la liste est trop longue.
Pays bloqués Sélectionnez les pays depuis lesquels bloquer le trafic entrant. sipPROT bloquera l’ensemble des adresses appartenant aux pays sélectionnés. La liste des pays se met à jour automatiquement sur les hôtes SERVERware. Il existe également un bouton pour les mises à jour manuelles de la base de données GEO-IP.
Protections supplémentaires L’option TFTP vous permet de protéger votre serveur contre les attaques par force brute TFTP en utilisant une limite de taux. La limite de taux par défaut est de 10/minute, autorisant un maximum de 100 demandes en rafale. La fonction DNS est une protection contre les vulnérabilités pour les systèmes plus anciens qui pourraient être affectés par un dépassement de tampon en mémoire par débordement de pile glibc dans la faille de sécurité getaddrinfo(), également appelée CVE-2015-7547. Elle est activée par défaut. Si vous ne savez pas à quoi sert cette fonction, vous ne devez en aucun cas modifier cette option.
Notifications – L’envoi quotidien d’un résumé des attaques enverra des notifications aux destinataires sélectionnés si cette option est cochée. – L’envoi d’un journal pour chaque attaque enverra des notifications pour chaque attaque (Attention aux journaux fréquents). La valeur par défaut est de 1 par heure, ce qui signifie qu’un message sera envoyé toutes les heures en cas d’attaque SIP. SERVERware/PBXware doit avoir un compte SMTP actif défini pour que les notifications fonctionnent.
Destinataires de notification Pour mettre à jour la liste des destinataires de notifications, sélectionnez l’onglet Destinataires de notification dans le menu Général, sélectionnez ou recherchez un utilisateur dans la liste et cliquez sur le bouton Ajouter. Pour supprimer un destinataire de notification de la liste, cliquez sur le bouton Supprimer dans la même ligne. Une boîte de dialogue de confirmation apparaît. Cliquez sur Oui pour supprimer le destinataire de notification.

Liste blanche

La liste blanche est la liste des adresses IP autorisées à accéder en continu au système ; cette liste est remplie manuellement via un formulaire ou le téléchargement d’un fichier CSV.

Pour ajouter une adresse IP aux listes, sélectionnez l’onglet Adresses IP de la liste blanche, appuyez sur le bouton + entrez le réseau ou l’adresse IP, entrez une note (non obligatoire) et cliquez sur le bouton Ajouter.

Pour ajouter plusieurs adresses IP à la liste blanche, il existe une option d’importation CSV dans le coin supérieur droit. Sélectionnez le fichier CSV contenant la liste des adresses IP que vous souhaitez ajouter à la liste blanche et cliquez sur le bouton Télécharger

Il existe également une option pour exporter toutes les adresses IP de la liste blanche vers un fichier CSV

Supprimer un réseau ou une adresse IP de la liste peut être exécuté de deux manières. Tout d’abord, il existe une option pour supprimer une ou plusieurs adresses IP en sélectionnant une ou plusieurs adresses IP, puis en cliquant sur le bouton Supprimer

Et il existe une autre option pour supprimer toutes les adresses IP de la liste en cochant la case Tout sélectionner, puis en cliquant sur le bouton Supprimer Une boîte de dialogue de confirmation apparaît. Cliquez sur Oui pour supprimer le réseau ou l’adresse IP. Les modifications apportées aux listes sont appliquées automatiquement.

Liste de blocage

La liste de restrictions est la liste des adresses IP ayant un accès restreint au système ; cette liste est alimentée manuellement via un formulaire ou le téléchargement d’un fichier CSV.

Pour ajouter une adresse IP à la liste, sélectionnez l’onglet Adresses IP de la liste blanche, appuyez sur le bouton + pour entrer le réseau ou l’adresse IP, saisissez une note (facultative), et  cliquez sur le bouton Ajouter.

Pour ajouter plusieurs adresses IP à la liste de restrictions, vous disposez de l’option d’importation d’un fichier CSV en haut à droite. Sélectionnez le fichier CSV contenant la liste des adresses IP que vous souhaitez ajouter à la liste de restrictions et cliquez sur le bouton Télécharger

Il existe également une option pour exporter toutes les adresses IP de la liste de restrictions vers un fichier CSV.

Supprimer un réseau ou une adresse IP de la liste peut être effectué de deux manières. Tout d’abord, vous avez la possibilité de supprimer une ou plusieurs adresses IP en sélectionnant une ou plusieurs adresses IP, puis en cliquant sur le bouton Supprimer

Ensuite, il existe une autre option pour supprimer toutes les adresses IP de la liste en cochant la case Sélectionner tout puis en cliquant sur le bouton Supprimer. Une boîte de dialogue de confirmation apparaît. Cliquez sur Oui pour supprimer le réseau ou l’adresse IP. Les modifications apportées aux listes sont appliquées automatiquement.

Liste de blocage dynamique 

A partir de la liste des adresses bloquées dans le menu sipPROT > Liste de blocage dynamique, vous pouvez débloquer manuellement une adresse IP ou attendre que le blocage soit automatiquement supprimé après un certain temps.

Pour faciliter la gestion des adresses IP bloquées par sipPROT et pour l’inspection/débogage, la liste de restrictions dynamique de sipPROT affiche l’agent utilisateur exact (scanner) et le pays d’origine de chaque attaque arrêtée avec succès.

SipPROT CLI

La nouvelle version mise à jour de sipPROT est accompagnée de commandes et de sorties CLI actualisées. La complétion automatique de la CLI est ajoutée pour les commandes sipPROT.

				
					# sipprot --help
# Usage:
 	sipprot [status|report|version|check]
# status:
     	prints number of IPs per list
 	--all  prints allow, deny, and dynamic deny lists
 	--allow prints allow list
 	--deny  prints deny list
 	--dynamic prints dynamic deny list
# report:
 	prints out daily attack report
# version:
 	prints out sipPROT version
# check:
 	checks if the provided IP is in any of the following: allowlist, denylist, dynamic denylist
 	example: sipprot check 192.168.0.1

				
			

Afin de démarrer, arrêter ou vérifier l’état du démon sipPROT, utilisez la commande suivante 

				
					/etc/init.d/sipprotd [start|stop|status]
				
			

Pour démarrer manuellement le sipPROT, utilisez la commande suivante :

				
					/etc/init.d/sipprotd start

				
			

sipPROT sera automatiquement démarré au redémarrage du système. Après le démarrage de sipPROT, la variable de configuration sera chargée à partir du fichier de configuration. Voici l’emplacement du fichier de configuration :

				
					/home/sipprot.conf
				
			

Au démarrage, sipPROT lira également les adresses IP des listes Autoriser et Refuser. Les adresses IP répertoriées dans la liste de refus seront définitivement bloquées et les adresses IP répertoriées dans la liste blanche seront autorisées en permanence.

Pour ajouter une adresse IP à la liste de refus, vous devez ajouter l’adresse IP dans le fichier

				
					/home/sipprot.denylist

				
			

Une seule adresse IP par ligne est autorisée. Les lignes commençant par le caractère # seront ignorées. Voici un exemple de fichier de liste noire :

				
					# One IP Address per line
192.168.1.1
192.168.1.2
				
			

Dans l’exemple ci-dessus, les adresses IP 192.168.1.1 et 192.168.1.2 sont dans la liste de refus et ces adresses IP seront définitivement bloquées.

Pour ajouter une adresse IP à la liste blanche, vous devez ajouter l’adresse IP dans le fichier :

				
					/home/ sipprot.allowlist

				
			

Une seule adresse IP par ligne est autorisée. Les lignes commençant par le caractère # seront ignorées. Voici un exemple de fichier de liste noire :

				
					# One IP Address per line
192.168.1.1
192.168.1.2
				
			

Dans cet exemple, les adresses IP 192.168.2.1 et 192.168.2.2 ne seront pas bloquées par sipPROT.

Pour arrêter sipPROT manuellement, exécutez la commande suivante :

				
					/etc/init.d/sipprotd stop
				
			

Cette commande arrêtera le module sipPROT et désactivera les règles de pare-feu créées par sipPROT.

Pour obtenir des informations sur l’état de sipprot, utilisez la commande suivante :

				
					sipprot status
				
			

Cette commande donnera les informations suivantes :

				
					> ~# sipprot status
> +---------------------+------------+
> |        LIST         | NUM OF IPS |
> +---------------------+------------+
> | Allow               |          0 |
> +---------------------+------------+
> | Deny                |          0 |
> +---------------------+------------+
> | Dynamic (permanent) |          0 |
> +---------------------+------------+
> | Dynamic (temporary) |          0 |
> +---------------------+------------+
				
			

La liste des adresses IP bloquées dynamiquement par sipPROT est une liste d’adresses IP bloquées au moment où vous exécutez la commande sipPROT status.
Ces IP seront bloquées si le délai entre deux attaques de cette IP est inférieur au temps défini par BLOCKTIME . BLOCKTIME est une variable définie dans le fichier de configuration “/home/sipprot.conf” . Par exemple, si BLOCKTIME est de 600 secondes, l’adresse IP bloquée dynamiquement sera bloquée pendant les 600 secondes suivantes. S’il n’y a pas de nouvelle attaque depuis cette IP après 600 secondes, sipPROT débloquera cette IP. Ainsi, pour que l’adresse IP soit bloquée, il doit y avoir une attaque pendant BLOCKTIME .

Si une adresse IP figure dans la liste des adresses IP autorisées, cette adresse IP ne sera pas bloquée par sipPROT.

Si une adresse IP figure dans la liste des adresses IP bloquées par la liste de blocage, l’adresse IP sera bloquée, qu’une attaque provienne ou non de cette adresse IP.

Partager

13. sipPROT

Ou copiez le lien ci-dessous

CONTENU