Wiki en construction / PBXware 7.0 - Incident concernant les services évolués en français

Les mises à jours résolvent de nombreux problèmes, ne passez pas à côté !

sipPROT

Temps estimé :21 minutes
Les tentatives d’intrusion par force brute sont assez fréquentes et les systèmes IPBX qui ne sont pas protégés sont sensibles à cette attaque. La conséquence la plus courante de ce type d’attaque réseau peut être :

  Interruption et inaccessibilité du service VOIP
  La possibilité de vol de mot de passe (enregistrement SIP)

Ce type d’attaque sur des systèmes non protégés peut entraîner directement des pertes financières. Pour éviter cette situation, nous avons développé le sipPROT pour PBXware et SERVERware.
sipPROT est une protection contre les attaques SIP par force brute provenant du réseau.

 

Comment fonctionne sipPROT ?

Lorsque sipPROT détecte une attaque, il agit immédiatement en mettant à jour les règles de liste noire et en empêchant l’accès depuis les adresses IP à l’origine de l’attaque. Cela protège votre système de tout autre dommage. Contrairement à d’autres solutions de sécurité similaires, sipPROT est capable de fonctionner avec le trafic SIP en direct et est plus efficace pour arrêter les attaques.

 

De plus, sipPROT dispose d’une fonction de blocage géographique. Cela signifie qu’il compare les adresses IP entrantes avec une base de données d’adresses IP selon leur position géographique, et si l’adresse IP entrante appartient à un pays bloqué, sipPROT bloquera automatiquement l’accès à partir de cette adresse IP. Cette couche de protection supplémentaire garantit que votre système est protégé contre les attaques provenant d’emplacements géographiques spécifiques.
Selon la configuration que vous utilisez, sipPROT peut être installé à deux emplacements possibles :
  • PBXware – si vous exécutez une installation PBXware autonome.
  • SERVERware – Si vous exécutez PBXware en tant que VPS dans un environnement virtuel SERVERware, sipPROT doit être installé sur tous les hôtes SERVERware.

Installer sipPROT GUI

Pour installer sipPROT 5 dans l’interface graphique (GUI) PBXware, vous devez vous assurer que PBXware tourne sous la version 7.x. Si vous avez une ancienne version de PBXware, vous pouvez toujours utiliser sipPROT avec uniquement une prise en charge en ligne de commande.

 

Après avoir installé PBXware 7.0.0, accédez à l’assistant de configuration, port 81.
Le nouvel élément “sipPROT” doit être présent dans le menu de gauche. Cliquez sur cet élément.

 

Cliquez sur installer sipPROT et attendez que le processus d’installation soit terminé.

Cliquez sur l’onglet Services dans le menu de gauche.

Vous pouvez démarrer/recharger/redémarrer/arrêter sipPROT à partir du menu Services.

Lorsque vous cliquez sur le bouton Open sipPROT, un nouvel onglet devrait s’ouvrir et vous serez redirigé vers la page sipPROT – Web UI.

Page de configuration

Sous PBXware > Réglages de l’admin > sipPROT > Réglages, se trouvent les options de configuration pour sipPROT.

Options disponibles

Champ Description
Protocoles : Choisissez les protocoles à surveiller pour les attaques (TCP, UDP ou les deux).
Ports SIP : Spécifiez un ou plusieurs ports ou plages à surveiller, tels que "5060" ou "5060:5062".
Règle de blocage SIP : Définissez le nombre maximal de tentatives d'enregistrement non autorisées par minute avant de bloquer l'adresse IP d'un attaquant pendant une durée spécifiée.
Temps de blocage dynamique : Choisissez combien de temps les adresses IP bloquées resteront bloquées après avoir empêché une attaque.
Seuil de blocage : Définissez combien de fois une adresse IP sera bloquée dynamiquement avant d'être définitivement bloquée en étant ajoutée à la liste de blocage. La plage acceptable est (1-20).
Agents utilisateurs bloqués : Spécifiez les agents utilisateurs SIP à partir desquels bloquer le trafic entrant. Gardez la liste aussi courte que possible pour éviter d'affecter les performances du système.
Géoprotection : Activez ou désactivez le blocage GEO et sélectionnez l'option Autoriser ou Refuser.
Autoriser : si "Autoriser" est sélectionné, seul le trafic provenant des pays sélectionnés sera autorisé et tout autre trafic sera refusé.
Notez que les ressources auxquelles le serveur doit accéder en dehors de la plage de pays sélectionnée, telles que les serveurs de messagerie ou d'archivage externes, doivent être explicitement autorisées.
Refuser : si "Refuser" est sélectionné, tout le trafic provenant des pays bloqués sera refusé.
Pays bloqués : Sélectionnez les pays à partir desquels bloquer le trafic entrant. sipPROT bloquera toute la plage d'adresses IP appartenant aux pays sélectionnés ou l'autorisera si une méthode différente est sélectionnée ci-dessus
Protections supplémentaires :
TFTP : Protégez votre serveur contre les attaques par force brute TFTP en utilisant une limite de débit. La limite de débit par défaut est de 10 requêtes par minute, avec un maximum de 100 requêtes en rafale.
DNS : Protégez les anciens systèmes du débordement de tampon basé sur la pile glibc dans la faille de sécurité getaddrinfo().
Cette fonctionnalité est activée par défaut et ne devrait pas être modifiée sans les connaissances.
Si vous ne savez pas à quoi sert la fonctionnalité, vous ne devez en aucun cas modifier cette option.
Notifications :
Activer : activez ou désactivez les notifications de sipPROT.
Envoyer un résumé quotidien des attaques : recevez un e-mail avec un rapport quotidien des attaques si cette option est cochée.
Envoyer le journal pour chaque attaque Recevez une notification pour chaque attaque. La valeur par défaut est une fois par heure.
Destinaire des notifications : sipPROT utilise la configuration SMTP fournie par PBXware et nécessite des paramètres SMTP fonctionnels. Le destinataire par défaut des notifications est l'administrateur PBXware.
Les listes Autoriser/Refuser offrent plusieurs options pour gérer la liste, y compris les fonctions de recherche, d’exportation, d’importation et de suppression. Les utilisateurs peuvent également étendre les informations supplémentaires pour chaque enregistrement en un seul clic, fournissant des données précieuses pour mieux gérer leur liste.

1. Gestion de la liste d’autorisations

  • Ajouter (Ajouter manuellement un enregistrement IP à la liste)
  • Exporter (exporter toute la liste vers un fichier CSV)
  • Importer (importer la liste à partir d’un fichier CSV)
  • Supprimer (supprimer l’enregistrement IP sélectionné)

2. Recherche

  • Recherche (Recherche dans la liste par enregistrement IP ou par note)
  • Pays (Recherche d’enregistrements d’adresses IP par pays)
  • Réinitialiser (Effacer le pays et réinitialiser la recherche)

3. Options d’affichage et de rafraîchissement

  • Afficher par page (liste déroulante permettant de sélectionner le nombre d’enregistrements affichés par page)
  • Rafraîchir (L’option “Rafraîchir” de la liste des autorisations est une liste déroulante qui permet aux utilisateurs de définir l’intervalle de rafraîchissement de la liste. Lorsqu’un intervalle de rafraîchissement est défini, la liste est automatiquement rafraîchie à l’intervalle spécifié. Cependant, il est important de garder à l’esprit que cette action peut effacer toutes les sélections en cours dans la liste.)

Au bas de la liste, les utilisateurs peuvent trouver :

4. Nombre sélectionner / total d’entrée

5. Numéros de page avec sélecteur
Également pour plus de commodité, des informations supplémentaires concernant l’adresse IP spécifique peuvent être trouvées en un seul clic sur la flèche au début de l’enregistrement pour développer les informations supplémentaires pour le contenu de l’enregistrement.

  • IP : l’adresse IP concernée
  • Note : la note pour le dossier si disponible.
  • Time : la date et l’heure du rajout ou modification
  • Added by : l’utilisateur qui a ajouté l’enregistrement.
  • Bouton Copier : copiez les données d’enregistrement dans le presse-papiers au format json.
				
					{ 
"ip": "217.146.168.190", 
"note": "IP address has been added by Damir due to suspicious activity. The IP had made 15 unauthorized registration attempts within a minute, exceeding the blocking rule threshold of 10.", 
"time": 1682329066, 
"added_by": "Administrator (damir.smigi@gmail.com)", 
"geo_data": { 
   "country_code": "CH", 
   "country_name": "Switzerland" 
   } 
}
				
			
  • Modifier (edit) : modifier le bouton d’enregistrement 
  • Supprimer (delete) : supprimez le bouton d’enregistrement.

Liste blanche

La liste Blanche est une liste d’adresses IP autorisées à accéder sans interruption au système. Cette liste peut être renseignée manuellement via un formulaire ou téléchargée à l’aide d’un fichier CSV. Il est important de maintenir la liste blanche à jour pour garantir que les utilisateurs légitimes ne soient pas empêchés d’accéder au système. La liste blanche fournit une couche de sécurité supplémentaire au système et aide à empêcher tout accès non autorisé.

Ajouter des enregistrements IP à la liste blanche 

Pour ajouter une adresse IP à la liste blanche, procédez comme suit :

  • Ouvrez l'onglet “Allowlist” sipPROT dans votre système. Cliquez sur le bouton "ADD".
  • Entrez le réseau ou l'adresse IP dans le champ désigné.
  • Saisissez toutes les notes facultatives pour vous aider à vous rappeler pourquoi cette adresse a été ajoutée.
  • Cliquez sur le bouton "ADD" pour ajouter l'adresse IP à la liste blanche.
Il est important de s’assurer que l’adresse IP saisie est exacte et valide. Une fois qu’une adresse IP est ajoutée à la liste blanche, elle sera autorisée à accéder sans interruption au système.

Importer/exporter plusieurs enregistrements IP vers la liste blanche

Pour importer plusieurs adresses IP dans la liste blanche des IP autorisées, vous pouvez utiliser l’option Importer CSV située dans le coin supérieur droit de l’onglet Adresses IP de la liste blanche. Pour utiliser cette fonctionnalité, vous aurez besoin d’un fichier CSV contenant la liste des adresses IP que vous souhaitez ajouter à la liste verte.
Pour créer le fichier CSV, vous pouvez télécharger le fichier modèle fourni qui contient des en-têtes et des exemples pour vous aider à démarrer. Une fois que vous avez le fichier, ouvrez-le dans un tableur comme Microsoft Excel ou Google Sheets. Ensuite, ajoutez les adresses IP auxquelles vous souhaitez autoriser l’accès au système dans la colonne “IP_ADDRESS”. Vous pouvez également ajouter une note facultative pour chaque adresse IP dans la colonne “NOTE”.

Exemple de fichier CSV :
				
					IP_ADDRESS,NOTE,TIME,ADDED_BY 
192.168.24.1,"réseau privé interne",2023-09-01 15:44:35,"Bicom France (support@bicomsystems.fr)"
				
			
 
Enregistrez le fichier au format CSV et assurez-vous qu’il est au bon format. Ensuite, revenez à l’onglet Liste autorisée sipPROT du système et cliquez sur le bouton « IMPORT ». Sélectionnez le fichier CSV que vous venez de créer et cliquez à nouveau sur « DOWNLOAD ». Le système importera les adresses IP du fichier et les ajoutera à la liste blanche.
 
Si vous devez exporter la liste des adresses IP de la liste autorisée, vous pouvez également utiliser l’option « EXPORT » pour télécharger un fichier contenant toutes les adresses IP actuellement sur la liste blanche.

Supprimer une adresse IP de la liste

Il existe deux manières de supprimer un réseau ou une adresse IP de la liste. Tout d’abord, vous pouvez sélectionner une ou plusieurs adresses IP en cochant la case à côté de chacune d’elles, puis en cliquant sur le bouton « REMOVE ». Une boîte de dialogue de confirmation apparaîtra et vous pourrez cliquer sur “OK” pour supprimer le réseau ou les adresses IP sélectionnées.
Deuxièmement, vous pouvez supprimer toutes les adresses IP de la liste en cochant la case « Tout sélectionner », puis en cliquant sur le bouton « Remove ». Une boîte de dialogue de confirmation apparaîtra et vous pourrez cliquer sur “OK” pour supprimer toutes les adresses réseau ou IP de la liste.
Les modifications apportées à la liste sont appliquées automatiquement. Si vous devez supprimer un grand nombre d’adresses IP, vous pouvez également utiliser un fichier CSV pour effectuer des modifications groupées. Un lien vers un fichier modèle avec des en-têtes et des exemples est fourni pour vous aider à démarrer.

Liste noire

La liste noire est une collection d’adresses IP dont l’accès au système est restreint. Cette liste peut être remplie manuellement en saisissant une adresse IP et une “note” facultative via une interface graphique ou en important une liste d’adresses IP via un fichier CSV. De plus, la liste noire peut être remplie dynamiquement avec des adresses IP provenant de la “liste noire dynamique” si elles sont identifiées comme étant associées à des attaques persistantes sur le système.

Ajouter des enregistrements IP à la liste noire

Pour ajouter une adresse IP à la liste noire, procédez comme suit :

  • Ouvrez l’onglet Denylist sipPROT dans votre système.
  • Cliquez sur le bouton “ADD”.
  • Entrez le réseau ou l’adresse IP dans le champ désigné.
  • Saisissez toutes les notes facultatives pour vous aider à vous rappeler pourquoi cette adresse a été ajoutée.
  • Cliquez sur le bouton “ADD” pour ajouter l’adresse IP à la liste de refus.

Importer/exporter plusieurs enregistrements IP vers la liste noire

Pour importer plusieurs adresses IP dans la liste de refus, vous pouvez utiliser l’option Importer CSV située dans le coin supérieur droit de l’onglet Liste de refus. Pour utiliser cette fonctionnalité, vous aurez besoin d’un fichier CSV contenant la liste des adresses IP que vous souhaitez ajouter à la liste de refus.
Pour créer le fichier CSV, vous pouvez télécharger le fichier modèle fourni qui contient des en-têtes et des exemples pour vous aider à démarrer. Une fois que vous avez le fichier, ouvrez-le dans un tableur comme Microsoft Excel ou Google Sheets. Ensuite, ajoutez les adresses IP auxquelles vous souhaitez autoriser l’accès au système dans la colonne “IP_ADDRESS”. Vous pouvez également ajouter une note facultative pour chaque adresse IP dans la colonne “REMARQUE”.


Exemple de fichier CSV :

				
					IP_ADDRESS,NOTE 
192.168.x.x,"example note1" 
77.14.x.x,"example note2"
				
			
Enregistrez le fichier au format CSV et assurez-vous qu’il est au bon format. Ensuite, retournez à l’onglet Denylist sipPROT du système et cliquez sur le bouton “Télécharger”. Sélectionnez le fichier CSV que vous venez de créer et cliquez à nouveau sur « Télécharger ». Le système importera les adresses IP du fichier et les ajoutera à la liste de refus.

Si vous devez exporter la liste des adresses IP de la liste de refus, vous pouvez également utiliser l’option « Exporter CSV » pour télécharger un fichier contenant toutes les adresses IP actuellement sur la liste de refus.
Supprimer une adresse IP de la liste

Il existe deux manières de supprimer un réseau ou une adresse IP de la liste. Tout d’abord, vous pouvez sélectionner une ou plusieurs adresses IP en cochant la case à côté de chacune d’elles, puis en cliquant sur le bouton “Supprimer”. Une boîte de dialogue de confirmation apparaîtra et vous pourrez cliquer sur “Oui” pour supprimer le réseau ou les adresses IP sélectionnées.
Deuxièmement, vous pouvez supprimer toutes les adresses IP de la liste en cochant la case “Tout sélectionner”, puis en cliquant sur le bouton “Supprimer”. Une boîte de dialogue de confirmation apparaîtra et vous pourrez cliquer sur “Oui” pour supprimer toutes les adresses réseau ou IP de la liste.
Les modifications apportées à la liste sont appliquées automatiquement. Si vous devez supprimer un grand nombre d’adresses IP, vous pouvez également utiliser un fichier CSV pour effectuer des modifications groupées. Un lien vers un fichier modèle avec des en-têtes et des exemples est fourni pour vous aider à démarrer.

Liste de blocage dynamique

La liste de blocage dynamique affiche automatiquement les adresses IP bloquées identifiées comme sources de trafic malveillant ou d’attaques. Ces adresses IP sont ajoutées automatiquement à la liste de blocage sans aucune intervention manuelle. La liste de blocage dynamique est constamment mise à jour avec les dernières informations sur les adresses IP malveillantes, garantissant ainsi que le système reste protégé contre les nouvelles menaces.
Les administrateurs ont la possibilité de débloquer manuellement l’adresse IP ou d’attendre l’expiration du délai d’attente, après quoi le blocage sera automatiquement supprimé.
L’un des avantages du blocage dynamique est qu’il fournit des informations détaillées sur l’agent utilisateur/scanner utilisé dans l’attaque, ainsi que sur le pays d’origine de l’attaque. Ces informations peuvent être utilisées à des fins d’inspection et de débogage, ainsi que pour mieux comprendre la nature de l’attaque et prendre les mesures appropriées pour prévenir de futures attaques.
Le blocage dynamique est une fonctionnalité de sipPROT qui permet au logiciel de bloquer automatiquement les adresses IP qui tentent d’attaquer votre système. Lorsqu’une adresse IP est bloquée dynamiquement, cela signifie qu’elle a enfreint les règles définies par l’administrateur dans la page des paramètres. Le “Dynamic Block Time” est une variable qui détermine la durée pendant laquelle une adresse IP sera bloquée si elle enfreint les règles.

Par exemple, si le temps de blocage dynamique est défini sur 1/heure et qu’une adresse IP enfreint les règles, sipPROT bloquera cette IP pour l’heure suivante. Si aucune nouvelle attaque ne provient de cette adresse IP une fois l’heure écoulée, sipPROT la débloquera. Cependant, s’il y a une nouvelle attaque provenant de cette IP pendant la période de blocage, le temps de blocage dynamique sera réinitialisé et l’adresse IP restera bloquée pendant une heure supplémentaire.

Il convient de noter que pour qu’une adresse IP soit bloquée, elle doit enfreindre les règles pendant le temps de blocage dynamique. À l’inverse, si une adresse IP figure sur la liste de refus, elle sera bloquée par sipPROT, qu’elle attaque ou non votre système.

En résumé, le blocage dynamique est une fonctionnalité de blocage automatisée de sipPROT qui permet au logiciel de bloquer les adresses IP qui violent les règles de votre système.

Mettre à jour sipPROT

La mise à jour de sipPROT peut être effectuée à partir de l’assistant de configuration de PBXware de la même manière que les autres packages PBXware.

sipPROT CLI

La nouvelle version mise à jour de sipPROT est livrée avec des commandes et des sorties CLI mises à jour. La saisie semi-automatique CLI est ajoutée pour les commandes sipPROT.

Statut sipPROT

Pour obtenir des informations sur l’état de sipprot, utilisez la commande suivante :

				
					- sipprot status
				
			

Cette commande donnera les informations suivantes

				
					# sipprot status 
+---------------------+------------+ 
| LIST                | NUM OF IPS | 
+---------------------+------------+ 
| Allow               |        493 | 
+---------------------+------------+ 
| Deny                |        482 | 
+---------------------+------------+ 
| Dynamic (temporary) |        100 | 
+---------------------+------------+
				
			
				
					# sipprot --help 

NAME: sipPROT - CLI 

USAGE: sipPROT [global options] command [command options] [arguments...] 

VERSION: 5.1.0+build.777.rev.5ad785a 

COMMANDS: 
    status, s Prints number of IPs per list 
    report, r Prints out daily attack report setup, 
    Setup redis repositories. If the repositories already exist, this is no-op. 
    version, Print only the version 
    list, l Manages IP lists 
    help, h Shows a list of commands or help for one command 

GLOBAL OPTIONS: 
    --config FILE load configuration from FILE (default: "/opt/sipprot/conf/sipprot.conf") 
    --log value log URI e.g. stdout://, syslog:// or file:///var/log/sipprotd.log (default: "stdout://") 
    --debug include debug logs (default: false) 
    --help, -h show help 
    --version, -v print the version
				
			

Pour lister des informations détaillées, utilisez les indicateurs –all, –allow, –deny, –dynamic

Exemple :

				
					# sipprot status -allow 

Allowlist: 
+-----------------+----------------+ 
| IP ADDRESS      |        COUNTRY | 
+-----------------+----------------+ 
| 191.85.106.233  |      Argentina | 
+-----------------+----------------+ 
| 165.191.222.98  |      Australia | 
+-----------------+----------------+ 
| 175.35.61.159   |      Australia | 
+-----------------+----------------+ 
| 83.164.34.163   |        Austria | 
+-----------------+----------------+ 
| 178.127.91.72   |        Belarus | 
+-----------------+----------------+ 
| 178.116.223.166 |        Belgium | 
+-----------------+----------------+ 
| 109.140.180.239 |        Belgium | 
+-----------------+----------------+
				
			

Rapport SipPROT

Pour imprimer le rapport d’attaque quotidien, utilisez :

				
					# sipprot report 
Daily Firewall Report 

Host: PBXware-Standalone 
Date: Tue, 28 Feb 2023 

+-----------------+-----------------------+-----------------+----------------+--------+
|     ATTACKER IP |               COUNTRY |          METHOD |      VICTIM IP | BLOCKS |
+-----------------+-----------------------+-----------------+----------------+--------+
|     45.93.16.32 | Palestinian Territory | SCANNER:21da605 | 45.141.164.106 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|    45.93.16.228 | Palestinian Territory | SCANNER:21da605 | 45.141.164.106 |      5 |
+-----------------+-----------------------+-----------------+----------------+--------+
|    45.93.16.239 | Palestinian Territory | SCANNER:21da605 | 45.141.164.106 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|   45.134.144.31 |           Netherlands | SCANNER:21da605 | 45.141.164.106 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|   51.159.91.192 |                France | SCANNER:21da605 | 45.141.164.106 |      2 |
+-----------------+-----------------------+-----------------+----------------+--------+
| 207.154.225.217 |               Germany | SCANNER:21da605 | 45.141.164.106 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|    212.129.7.65 |                France | SCANNER:21da605 | 45.141.164.106 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|    212.129.58.7 |                France | SCANNER:21da605 | 45.141.164.106 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|    45.93.16.228 | Palestinian Territory | SCANNER:21da605 | 45.141.164.109 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|    51.159.199.3 |                France | SCANNER:21da605 | 45.141.164.109 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|  104.167.222.98 |         United States | SCANNER:21da605 | 45.141.164.109 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|    212.129.7.65 |                France | SCANNER:21da605 | 45.141.164.109 |      1 |
+-----------------+-----------------------+-----------------+----------------+--------+
|    45.93.16.228 | Palestinian Territory | SCANNER:21da605 | 45.141.164.111 |      2 |
+-----------------+-----------------------+-----------------+----------------+--------+
|                 |                       |                 |          TOTAL |     13 |
+-----------------+-----------------------+-----------------+----------------+--------+
				
			

Pour imprimer les informations sur la version de sipPROT, utilisez :

				
					# version sipprot 
sipPROT : 5.0.0+build.619.rev.1b112e5
				
			
Vérification rapide supplémentaire, si l’adresse IP fournie figure dans l’un des éléments suivants : liste autorisée, liste de refus, liste de refus dynamique
Exemple:
				
					# sipprot check 83.221.171.193 
IP address '83.221.171.193' found in Allowlist 
IP address '83.221.171.193' found in Denylist
				
			
“Les adresses IP utilisées sur ce wiki ne sont pas réelles et servent uniquement à des fins de démonstration. Elles ne représentent aucune menace réelle.”
Partager

sipPROT

Ou copiez le lien ci-dessous

CONTENU