I cookies ci aiutano a fornire i nostri servizi.

Continuando la navigazione sul sito accetti l'utilizzo dei cookies da parte nostra. Per saperne di piu'

Approvo

Ing. Giuseppe Mazzucato

Consulenza Informatica ed Organizzativa

Logo
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Blocco intrusioni VoIP

Blacklist

 

Segnaliamo la disponibilità di una blacklist molto efficace per limitare i tentativi di intrusione a una qualsiasi applicazione VoIP.

 

 

VoiPBL.org

La blacklist è disponibile liberamente dal sito www.voipbl.org  e contiene al momento di scrivere più di 50.000 indirizzi IP che sono stati segnalati per aver cercato di violare applicazioni VoIP. La lista viene aggiornata continuamente grazie alle segnalazioni che provengono dalla comunità ed è quindi molto efficace nel bloccare sul nascere i tentativi di intrusione.

Da prove che abbiamo fatto installando la lista sui nostri server abbiamo potuto notare una riduzione di oltre il 95% dei tentativi di attacco rilevati dalle successive linee di difesa.

Il sito illustra molto bene la procedura per installare la lista nel proprio server linux e rende disponibili gli script che possono essere utilizzati per scaricare la lista e configurarla nel firewall integrato nel kernel del sistema operativo. Inutile sottolineare che è necessario per mantenere la lista aggiornata configurare CRON in modo che lo script venga eseguito ad intervalli regolari.

E' anche possibile configurare il proprio modulo fail2ban perché invii automaticamente i tentativi di intrusione che rileva in modo da contribuire senza sforzo all'aggiornamento della lista

Elemento della strategia di difesa complessiva

Nessuna black list per quanto efficace potrà mai bloccare tutti i tentativi di intrusione e deve quindi essere inquadrata in una strategia più ambia che comprenda anche altri elementi di sicurezza.

I primo aspetto da considerare è quello di impostare password robuste che non siano facilmente indovinabili, devono essere quindi di almeno 8 caratteri con numeri e caratteri speciali

Il modulo fail2ban si è dimostrato molto efficace per bloccare i tentativi di intrusione che vengono evidenziati nei file di log ed è quindi un utile completamento della blacklist.

 

Come installare la lista nel mini centralino su Raspberry

Per prima cosa è necessario installare nel mini centralino il programma iplist con il comando

 apt-get install ipset

Bisogna poi inserire lo script creando il file con l'editor e poi con copia ed incolla il testo più sotto

#!/bin/bash

URL="http://www.voipbl.org/update/"

set -e
echo "Downloading rules from VoIP Blacklist"
wget -qO - $URL -O /tmp/voipbl.txt

echo "Loading rules..."

# Check if rule set exists and create one if required
if ! $(/sbin/ipset list voipbl > /dev/null 2>&1); then
  ipset -N voipbl hash:ip hashsize 2048 maxelem 131072
fi
#Check if rule in iptables
if ! $(/sbin/iptables -w --check INPUT -m set --match-set voipbl src -j DROP > /dev/null 2>&1); then
 /sbin/iptables -I INPUT 1 -m set --match-set voipbl src -j DROP
fi
 
# Create temporary chain
ipset destroy voipbl_temp > /dev/null 2>&1 || true
ipset -N voipbl_temp hash:ip hashsize 2048 maxelem 131072
cat /tmp/voipbl.txt |\

  awk '{ print "if [ ! -z \""$1"\" -a \""$1"\"  != \"#\" ]; then /sbin/ipset  -A voipbl_temp \""$1"\" ;fi;"}' | sh
 
ipset swap voipbl_temp voipbl
ipset destroy voipbl_temp || true
 
echo "Done! Rules loaded"

Per attivare l'editor "nano" da cui si esce poi con ctrl+X e per attribuire al file i permessi di esecuzione

nano /usr/local/bin/voipbl.sh

chmod +x /usr/local/bin/voipbl.sh

Per attivare la blacklist è sufficente dare il comando voipbl.sh  ma per fare in modo che questa sia aggiornata una volta al giorno (alle 02:22 di notte) è meglio aggiungere la seguente riga al file /etc/crontab

22 2    * * *    root    voipbl.sh

 

 

Commenti   

0 #1 BARCELLINI 2019-04-05 09:37
Ottima soluzione, grazie.
0 #2 BARCELLINI 2019-04-05 12:33
Dopo aver fatto "girare" lo script compare:
ipset v6.23: Hash is full, cannot add more elements

Presumo si sia superata la capacità massima.
Esiste la possibilità di rimediare ?
Grazie per ogni suggerimento.
0 #3 admin 2019-04-05 16:54
La dimensione della blacklist è cresciuta e non entra più nella hash di default

Si può modificare una riga dello script impostando la dimensione della hash

ipset -N voipbl hash:ip hashsize 2048 maxelem 131072

(ho gia modificato lo scrip nell'articolo)
0 #4 BARCELLINI 2019-04-10 15:25
Citazione admin:
La dimensione della blacklist è cresciuta e non entra più nella hash di default

Si può modificare una riga dello script impostando la dimensione della hash

ipset -N voipbl hash:ip hashsize 2048 maxelem 131072

(ho gia modificato lo scrip nell'articolo)


Perfetto, ho effettuato la modifica.
Ancora complimenti e grazie.
0 #5 BARCELLINI 2019-04-22 17:22
La blacklist ha superato i 137000 per cui è necessario aumentare ancora...Io ho indicato maxelem in 262144 (il doppio).
Secondo me lo script va modificato anche nella parte che crea "ipset -N voipbl_temp iphash" con le stesse dimensioni. altrimenti in fase di swap non va.
Grazie e complimenti ancora.

I commenti possono essere inseriti solo dagli utenti registrati

Cerca nel sito

Chiamaci

 

 

 

 

Powered by WebRTC

Non pensare di essere sulla strada giusta solamente perché è un sentiero ben battuto

Anonimo