Ing. Giuseppe Mazzucato

Blocco intrusioni VoIP

Segnaliamo la disponibilità di una blacklist molto efficace per limitare i tentativi di intrusione a una qualsiasi applicazione VoIP.

VoiPBL.org

La blacklist è disponibile liberamente dal sito www.voipbl.org  e contiene al momento di scrivere più di 50.000 indirizzi IP che sono stati segnalati per aver cercato di violare applicazioni VoIP. La lista viene aggiornata continuamente grazie alle segnalazioni che provengono dalla comunità ed è quindi molto efficace nel bloccare sul nascere i tentativi di intrusione.

Da prove che abbiamo fatto installando la lista sui nostri server abbiamo potuto notare una riduzione di oltre il 95% dei tentativi di attacco rilevati dalle successive linee di difesa.

Il sito illustra molto bene la procedura per installare la lista nel proprio server linux e rende disponibili gli script che possono essere utilizzati per scaricare la lista e configurarla nel firewall integrato nel kernel del sistema operativo. Inutile sottolineare che è necessario per mantenere la lista aggiornata configurare CRON in modo che lo script venga eseguito ad intervalli regolari.

E' anche possibile configurare il proprio modulo fail2ban perché invii automaticamente i tentativi di intrusione che rileva in modo da contribuire senza sforzo all'aggiornamento della lista

Elemento della strategia di difesa complessiva

Nessuna black list per quanto efficace potrà mai bloccare tutti i tentativi di intrusione e deve quindi essere inquadrata in una strategia più ambia che comprenda anche altri elementi di sicurezza.

I primo aspetto da considerare è quello di impostare password robuste che non siano facilmente indovinabili, devono essere quindi di almeno 8 caratteri con numeri e caratteri speciali

Il modulo fail2ban si è dimostrato molto efficace per bloccare i tentativi di intrusione che vengono evidenziati nei file di log ed è quindi un utile completamento della blacklist.

Come installare la lista nel mini centralino su Raspberry

Per prima cosa è necessario installare nel mini centralino il programma iplist con il comando

 apt-get install ipset

Bisogna poi inserire lo script creando il file con l'editor e poi con copia ed incolla il testo più sotto

#!/bin/bash

URL="http://www.voipbl.org/update/"

set -e
echo "Downloading rules from VoIP Blacklist"
wget -qO - $URL -O /tmp/voipbl.txt

echo "Loading rules..."

# Check if rule set exists and create one if required
if ! $(/sbin/ipset list voipbl > /dev/null 2>&1); then
   ipset -N voipbl hash:ip hashsize 2048 maxelem 131072
fi
#Check if rule in iptables
if ! $(/sbin/iptables -w --check INPUT -m set --match-set voipbl src -j DROP > /dev/null 2>&1); then
 /sbin/iptables -I INPUT 1 -m set --match-set voipbl src -j DROP
fi
 
# Create temporary chain
ipset destroy voipbl_temp > /dev/null 2>&1 || true
ipset -N voipbl_temp hash:ip hashsize 2048 maxelem 131072
cat /tmp/voipbl.txt |\
  awk '{ print "if [ ! -z \""$1"\" -a \""$1"\"  != \"#\" ]; then /sbin/ipset  -A voipbl_temp \""$1"\" ;fi;"}' | sh
 
ipset swap voipbl_temp voipbl
ipset destroy voipbl_temp || true
 
echo "Done! Rules loaded"

Per attivare l'editor "nano" da cui si esce poi con ctrl+X e per attribuire al file i permessi di esecuzione

nano /usr/local/bin/voipbl.sh

chmod +x /usr/local/bin/voipbl.sh

Per attivare la blacklist è sufficente dare il comando voipbl.sh  ma per fare in modo che questa sia aggiornata una volta al giorno (alle 02:22 di notte) è meglio aggiungere la seguente riga al file /etc/crontab

22 2    * * *    root    voipbl.sh


I commenti possono essere inseriti solo dagli utenti registrati