PROJET AUTOBLOG

Planet-Libre

source: Planet-Libre

⇐ retour index

Mathias : Règles iptables afin de bloquer les scanners SIP

mercredi 3 août 2016 à 10:00

Les serveurs SIP (Asterisk, FreeSwitch … mais aussi les serveurs propriétaires) sont constamment scannés par des automates ou des humains avec pour seule idée, découvrir une faille à exploiter. En effet, les enjeux financiers sont importants.
Je partage avec vous ce jour, un script iptables pour bloquer les scanners SIP (à adapter notamment les ports si vous utilisez des différents de 5060).

iptables -N SIPDOS

iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “sundayddr” –algo bm –to 65535 -m comment –comment “deny sundayddr” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “sipsak” –algo bm –to 65535 -m comment –comment “deny sipsak” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “sipvicious” –algo bm –to 65535 -m comment –comment “deny sipvicious” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “friendly-scanner” –algo bm –to 65535 -m comment –comment “deny friendly-scanner” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “iWar” –algo bm –to 65535 -m comment –comment “deny iWar” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “sip-scan” –algo bm –to 65535 -m comment –comment “deny sip-scan” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “User-Agent: sipcli” –algo bm –to 65535 -m comment –comment “deny sipcli” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “User-Agent: Nmap NSE” –algo bm –to 65535 -m comment –comment “deny Nmap NSE” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “User-Agent: VaxSIPUserAgent” –algo bm –to 65535 -m comment –comment “deny VaxSIPUserAgent” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “From: sipp 

Si vous avez des idées pour l’améliorer, toutes les suggestions sont les bienvenues, l’idée étant de faciliter la sécurisation des serveurs SIP au plus grand nombre.


Mises à jour :


  • 4 août 2016 : ajoût de règles + correction typo suite au commentaire de Ztur
    • 

Autres articles à lire:
Cet article Règles iptables afin de bloquer les scanners SIP est apparu en premier sur Blog des télécoms - Par Mathias, expert et formateur rédigé par Mathias.


Gravatar de Mathias
Original post of Mathias.Votez pour ce billet sur Planet Libre.


Articles similaires

Mathias : Règles iptables afin de bloquer les scanners SIP

mercredi 3 août 2016 à 10:00

Les serveurs SIP (Asterisk, FreeSwitch … mais aussi les serveurs propriétaires) sont constamment scannés par des automates ou des humains avec pour seule idée, découvrir une faille à exploiter. En effet, les enjeux financiers sont importants.
Je partage avec vous ce jour, un script iptables pour bloquer les scanners SIP (à adapter notamment les ports si vous utilisez des différents de 5060).

iptables -N SIPDOS

iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “sundayddr” –algo bm –to 65535 -m comment –comment “deny sundayddr” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “sipsak” –algo bm –to 65535 -m comment –comment “deny sipsak” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “sipvicious” –algo bm –to 65535 -m comment –comment “deny sipvicious” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “friendly-scanner” –algo bm –to 65535 -m comment –comment “deny friendly-scanner” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “iWar” –algo bm –to 65535 -m comment –comment “deny iWar” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “sip-scan” –algo bm –to 65535 -m comment –comment “deny sip-scan” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m udp –dport 5060 -m string –string “User-Agent: sipcli” –algo bm –to 65535 -m comment –comment “deny sipcli” -j SIPDOS

iptables -A INPUT -i eth0 -p tcp -m tcp –dport 5060 -m string –string “sundayddr” –algo bm –to 65535 -m comment –comment “deny sundayddr” -j SIPDOS
iptables -A INPUT -i eth0 -p tcp -m tcp –dport 5060 -m string –string “sipsak” –algo bm –to 65535 -m comment –comment “deny sipsak” -j SIPDOS
iptables -A INPUT -i eth0 -p tcp -m tcp –dport 5060 -m string –string “sipvicious” –algo bm –to 65535 -m comment –comment “deny sipvicious” -j SIPDOS
iptables -A INPUT -i eth0 -p tcp -m tcp –dport 5060 -m string –string “friendly-scanner” –algo bm –to 65535 -m comment –comment “deny friendly-scanner” -j SIPDOS
iptables -A INPUT -i eth0 -p tcp -m tcp –dport 5060 -m string –string “iWar” –algo bm –to 65535 -m comment –comment “deny iWar” -j SIPDOS
iptables -A INPUT -i eth0 -p tcp -m tcp –dport 5060 -m string –string “sip-scan” –algo bm –to 65535 -m comment –comment “deny sip-scan” -j SIPDOS
iptables -A INPUT -i eth0 -p udp -m tcp –dport 5060 -m string –string “User-Agent: sipcli” –algo bm –to 65535 -m comment –comment “deny sipcli” -j SIPDOS

iptables -A SIPDOS -j LOG –log-prefix “firewall-sipdos: ” –log-level 6
iptables -A SIPDOS -j DROP

Si vous avez des idées pour l’améliorer, toutes les suggestions sont les bienvenues, l’idée étant de faciliter la sécurisation des serveurs SIP au plus grand nombre.

Autres articles à lire:

Cet article Règles iptables afin de bloquer les scanners SIP est apparu en premier sur Blog des télécoms - Par Mathias, expert et formateur rédigé par Mathias.

Gravatar de Mathias
Original post of Mathias.Votez pour ce billet sur Planet Libre.

Articles similaires

François Boulogne : Quels services pour les CHATONS ?

mercredi 3 août 2016 à 00:00

Framasoft a récemment lancé l'initiative de créer un collectif d'hébergeurs alternatifs, transparents, ouverts, neutres et solidaires. La charte est en cours d'élaboration et je me suis récemment intéressé à monter un liste de potentiels organisations qui pourraient y adhérer.

Mon premier jet donne, je pense, des informations intéressantes. On y voit que des services comme :

Par contre, il y a des services qui manquent, je ne dis pas que c'est toujours simple mais c'est la bonne occasion de lancer des idées :

Un rêve ultime serait d'avoir des services décentralisés. Par exemple, pour la vidéo, l'information pourrait être distribuées sur N noeuds d'un réseau de telle manière qu'il soit facile de rejoindre le mouvement, de diminuer le risque de perte d'information et de répartir la charge.

Gravatar de François Boulogne
Original post of François Boulogne.Votez pour ce billet sur Planet Libre.

mozillaZine-fr : Appel à l’action pour Firefox multi-processus et les extensions

mardi 2 août 2016 à 18:35

Dans un article paru aujourd’hui sur le blog des extensions de Mozilla, Kev Needham écrit ceci :

Comme nous l’avions annoncé, Mozilla va proposer un Firefox multi-processus (projet e10s) à quelques utilisateurs à partir de la version 48. Les Firefox installés sans extension ni fonctions d’accessibilité auront le multi-processus activé par défaut pendant six semaines. Nous testerons Firefox multi-processus avec des extensions dans le canal public à partir de la version 49, dans le but de généraliser à tout le monde début 2017.

Un certain nombre d’extensions existantes fonctionnent avec Firefox multi-processus, mais certaines ne fonctionnent pas, ou pas bien. Nous aimerions que les extensions marchent tout simplement, pour que les utilisateurs puissent utiliser leurs extensions préférées et en même temps bénéficier des avantages d’e10s. Nous lançons donc un appel urgent à tous les développeurs d’extensions qui n’ont pas encore testé les leurs avec e10s ou qui sont déjà passé au format WebExtensions :

Ensuite, suivez l’une de ces procédures :

  • Si votre extension fonctionne comme prévu avec e10s, marquez-la comme compatible avec le multi-processus et envoyez la nouvelle version sur AMO et/ou sur votre URL de mise à jour
  • Si votre extension ne fonctionne pas comme prévu avec e10s, adaptez-la, puis marquez-la comme compatible et envoyez la nouvelle version sur AMO et/ou sur votre URL de mise à jour

Les informations supplémentaires sur e10s, les extensions et les WebExtensions sont disponibles sur le Wiki de Mozilla et sur MDN, et nous sommes aussi là pour vous aider à faire la transition. Cela semble encore loin, mais 2017 c’est juste dans quelques mois, et nous aimerions que vous testiez (et fassiez les modifs si nécessaires) le plus rapidement possible.

Note : à l’exception du lien sur l’acronyme « e10s », nous avons laissé les liens vers les articles originaux, en anglais.

Gravatar de mozillaZine-fr
Original post of mozillaZine-fr.Votez pour ce billet sur Planet Libre.

Articles similaires

Journal du hacker : Liens intéressants Journal du hacker semaine #30

lundi 1 août 2016 à 00:01

Pour la 30ème semaine de 2016, voici 5 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

Pour ne plus rater aucun article de la communauté francophone, voici :

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Gravatar de Journal du hacker
Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Articles similaires