{"id":929,"date":"2020-09-28T11:22:41","date_gmt":"2020-09-28T14:22:41","guid":{"rendered":"http:\/\/blog.saperx.com.br\/?p=929"},"modified":"2020-09-28T11:59:20","modified_gmt":"2020-09-28T14:59:20","slug":"protecao-em-sip","status":"publish","type":"post","link":"https:\/\/blog.saperx.com.br\/index.php\/2020\/09\/28\/protecao-em-sip\/","title":{"rendered":"Prote\u00e7\u00e3o em SIP"},"content":{"rendered":"\n

É necessário termos proteção no protocolo SIP?
SIM<\/strong>. Sempre<\/strong>. <\/p>\n\n\n\n

Coloque um servidor com IP válido. Deixe-o sem firewall. Em poucos minutos você receberá ataques.<\/p>\n\n\n\n

Mas então, o que devo fazer?<\/p>\n\n\n\n

Deixarei algumas recomendações simples<\/strong>, que fazem toda a diferença.<\/p>\n\n\n\n

Barrando no Firewall<\/strong><\/p>\n\n\n\n

  1. Mantenha o firewall do seu servidor trabalhando no formato de whitelist<\/em><\/strong> sempre que possível. Ou seja, por padrão, tudo é bloqueado (100%!). Você define as redes que deseja liberar.
    <\/li>
  2. Não sendo possível trabalhar com whitelist<\/em> em subnets<\/em> específicas, utilize liberação por GEOIP. Libere apenas conexões do seu país. A maioria dos ataques vem de fora do país.
    <\/li>
  3. Bloqueie respostas de ICMP e demais portas padrões sempre que possível.
    <\/li>
  4. Realize bloqueios com base no erro de autenticação. Errou a senha X vezes? Bloqueie o IP.
    <\/li>
  5. Porta padrão? Avalie a possibilidade de ser utilizado outra porta aleatória, diferente da 5060.<\/li><\/ol>\n\n\n\n

    Se o firewall não barrou<\/strong>…<\/p>\n\n\n\n

    Existe a possibilidade de um atacante possuir as credenciais de algum cliente e estar dentro de uma faixa da sua whitelist<\/em>. Como proteger este tipo de acesso?<\/p>\n\n\n\n

    1. Bloqueie chamadas LDI. A maioria das invasões tem como destino das chamadas fora do país. Deixe como padrão estas chamadas bloqueadas.
      <\/li>
    2. ACL. Defina de qual\/quais redes cada conta SIP pode conectar. Mesmo que passe pelo firewall, que é a sua primeira barreira, pode ser barrado pela ACL.
      <\/li>
    3. Se a conta SIP estiver realizando consecutivas chamadas fora do padrão esperado, bloqueie. Isso é um indício de acesso não autorizado.
      <\/li><\/ol>\n\n\n\n

      Não é a solução, mas minimiza danos financeiros<\/strong><\/p>\n\n\n\n

      Se nada funcionou, o que podemos fazer? Trabalhando na minimização de danos.<\/p>\n\n\n\n

      1. Defina limites de quantidade de chamadas simultâneas que uma determinada conta SIP pode realizar. Seu cliente precisa ter chamadas simultâneas ilimitadas?
        <\/li>
      2. Esta é um pouco mais complexa, mas muitos softswitch possuem análise de perfil de consumo de cada cliente. Mantenha este controle sempre ativado. Afinal de contas, você gostaria de saber quando um cliente está gastando mais que o normal, certo?<\/li><\/ol>\n\n\n\n

        <\/p>\n\n\n\n

        Note que todas as soluções propostas acima são simples e de fácil execução, porém com grande poder de proteção<\/strong>.
        Existem também soluções avançadas e bem mais técnicas, no qual não abordei neste post, mas que muitos softswitches já possuem (ou deveriam possuir) nativamente.<\/p>\n\n\n\n

        Não brinque com SIP sem proteção. Proteja-se, sempre!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

        \u00c9 necess\u00e1rio termos prote\u00e7\u00e3o no protocolo SIP? SIM. Sempre. <\/p>\n

        Coloque um servidor com IP v\u00e1lido. Deixe-o sem firewall. Em poucos minutos voc\u00ea receber\u00e1 ataques. Mas ent\u00e3o, o que devo fazer? Deixarei algumas recomenda\u00e7\u00f5es simples, que fazem toda a diferen\u00e7a.<\/p>\n","protected":false},"author":2,"featured_media":931,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[43,8,29,15,5,7],"tags":[129,127],"_links":{"self":[{"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/posts\/929"}],"collection":[{"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=929"}],"version-history":[{"count":6,"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/posts\/929\/revisions"}],"predecessor-version":[{"id":936,"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/posts\/929\/revisions\/936"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/media\/931"}],"wp:attachment":[{"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=929"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=929"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.saperx.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=929"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}