Proteção em SIP

É necessário termos proteção no protocolo SIP?
SIM. Sempre.

Coloque um servidor com IP válido. Deixe-o sem firewall. Em poucos minutos você receberá ataques.

Mas então, o que devo fazer?

Deixarei algumas recomendações simples, que fazem toda a diferença.

Barrando no Firewall

  1. Mantenha o firewall do seu servidor trabalhando no formato de whitelist sempre que possível. Ou seja, por padrão, tudo é bloqueado (100%!). Você define as redes que deseja liberar.
  2. Não sendo possível trabalhar com whitelist em subnets específicas, utilize liberação por GEOIP. Libere apenas conexões do seu país. A maioria dos ataques vem de fora do país.
  3. Bloqueie respostas de ICMP e demais portas padrões sempre que possível.
  4. Realize bloqueios com base no erro de autenticação. Errou a senha X vezes? Bloqueie o IP.
  5. Porta padrão? Avalie a possibilidade de ser utilizado outra porta aleatória, diferente da 5060.

Se o firewall não barrou

Existe a possibilidade de um atacante possuir as credenciais de algum cliente e estar dentro de uma faixa da sua whitelist. Como proteger este tipo de acesso?

  1. Bloqueie chamadas LDI. A maioria das invasões tem como destino das chamadas fora do país. Deixe como padrão estas chamadas bloqueadas.
  2. ACL. Defina de qual/quais redes cada conta SIP pode conectar. Mesmo que passe pelo firewall, que é a sua primeira barreira, pode ser barrado pela ACL.
  3. Se a conta SIP estiver realizando consecutivas chamadas fora do padrão esperado, bloqueie. Isso é um indício de acesso não autorizado.

Não é a solução, mas minimiza danos financeiros

Se nada funcionou, o que podemos fazer? Trabalhando na minimização de danos.

  1. Defina limites de quantidade de chamadas simultâneas que uma determinada conta SIP pode realizar. Seu cliente precisa ter chamadas simultâneas ilimitadas?
  2. Esta é um pouco mais complexa, mas muitos softswitch possuem análise de perfil de consumo de cada cliente. Mantenha este controle sempre ativado. Afinal de contas, você gostaria de saber quando um cliente está gastando mais que o normal, certo?

Note que todas as soluções propostas acima são simples e de fácil execução, porém com grande poder de proteção.
Existem também soluções avançadas e bem mais técnicas, no qual não abordei neste post, mas que muitos softswitches já possuem (ou deveriam possuir) nativamente.

Não brinque com SIP sem proteção. Proteja-se, sempre!

Ronaldo Sacco
Sócio Co-Fundador da SaperX. Diretor Técnico. Especialista em SIP, Asterisk e programação de alto desempenho. O cara que faz a vaca voar.
Post criado 20

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Posts Relacionados

Comece a digitar sua pesquisa acima e pressione Enter para pesquisar. Pressione ESC para cancelar.

De volta ao topo