Come mitigare gli attacchi SIP Reflection?

Naviga le tue risposte
2

SIP ha un'esigenza pratica di essere ampiamente disponibile, ma i suoi servizi sono soggetti a spoofing come riflettori usati negli attacchi DDoS.

Un server freeswitch che gestisco ha visto un mucchio di richieste di registrazione su UDP (~ 300 / secondo), ognuna delle quali genera una risposta non autorizzata 401. Li abbiamo rilevati solo quando i problemi di prestazione mi hanno portato a fare una discarica sul filo e a indagare sul traffico.

Essendo il traffico UDP, bloccarlo in iptables ha un effetto limitato. Il traffico in entrata spreca ancora larghezza di banda, ma il server SIP non deve rispondere e il traffico di risposta non viene generato.

Perché è UDP, probabilmente è stato falsificato. La vera vittima è probabilmente la "fonte", che viene bombardata dai miei messaggi 401.

Questo tipo di problema deve essere molto comune. Esiste una best practice corrente per l'hosting dei servizi SIP in modo che non siano utili agli aggressori come fonti per gli attacchi di riflessione?

Grazie per eventuali approfondimenti.

Aggiornamento: 24 ore dopo aver bloccato il traffico SIP in entrata, si è fermato.

    
posta mgjk 27.02.2013 - 19:21
fonte

2 risposte

3

La maggior parte dei daemon SIP (ad esempio Asterisco) ha un'opzione per la whitelisting degli indirizzi IP che possono essere utilizzati per accedere al server, quindi se possibile lo userei e vieterei tutti gli altri. Tieni presente che in genere è possibile consentire le chiamate in arrivo da qualsiasi indirizzo IP, ma autorizzare le richieste di autenticazione su un set di IP.

Probabilmente guarderei anche qualcosa come fail2ban , che è un servizio che monitora i log per tentativi di accesso falliti e aggiunge iptables regole basate su varie regole. Bannare automaticamente gli IP per incrementare i periodi di tempo dopo un numero di tentativi falliti scoraggere rapidamente gli attaccanti, perché anche gli attacchi riflessi richiedono un pool di macchine proxy. Se sei identificato come obiettivo che non blocca rapidamente tentativi malevoli, incoraggerà solo gli attaccanti a continuare.

Una cosa a cui prestare attenzione con fail2ban è che gli autori di attacchi possono falsificare l'indirizzo di origine UDP e vietare vari indirizzi. Per fortuna puoi usare jail.conf nella configurazione di fail2ban per impostare una whitelist di indirizzi IP che non saranno mai bannati. Finché l'utente malintenzionato non scopre mai uno di questi IP, i loro attacchi verranno mitigati con successo.

Potresti anche utilizzare uno script per aggiungere e rimuovere iptables regole per bloccare tutto il traffico al di fuori dell'orario d'ufficio, o cambiare la porta SIP per evitare attacchi drive-by automatizzati. Entrambi sono un po 'di disagio, ma possono essere utili quando si evitano gli attacchi che scansionano su Internet per le istanze SIP aperte.

Ulteriori letture:

risposta data 27.02.2013 - 20:30
fonte
1

Ciò di cui hai bisogno è forse la difesa perimetrale (ad es. firewall) per bloccare tale traffico. Quello che puoi fare è definire una whitelist di utenti o di un intervallo di rete che possono trovare i tuoi server Se è di dominio pubblico, allora tutto il tuo altro gioco di palle, allora hai bisogno di qualcosa come limitazione di velocità sul tuo terminale ISP.

    
risposta data 27.02.2013 - 19:54
fonte

Leggi altre domande sui tag

Attacchi in SSL e SSH Quali sono le implicazioni per la sicurezza di homebrew e macports?