SIPCheck2 o vigia do seu Asterisk contra Ataques!

Categories: Outros
Tags: No Tags
Comments: No Comments
Published on: 19 de julho de 2014

19-07-2014 17-44-03

Faz exatamente quatro anos, na Sinologic lançamos uma aplicação chamada SIPChek que tem a competência de monitorar o log do Asterisk e vigiar as tentativas de ataques realizada por BOTs e atacantes para nosso sistema, adiciona-los ao firewall e criar uma lista pública e utilizada por qualquer pessoa interessada, algo similar ao que faz a aplicação Fail2ban somente que mais orientado ao Asterisk e reportando os IPs detectados a uma base de dados geral que pode ser consultado por todos, mas social e útil.

A quatro anos, o resultado tem sido realmente interessante: mas de 4000 endereços de IP que originam ataques e mais de 400 usuários detectado ataques à eles, o que levou a Sinologic a realizar melhorias consideráveis: SIPCheck2!

Nesta nova versão, desenvolvemos em Pyton, que nos permite, não somente informar de qualquer ataque, mas também receber a lista dos atacantes que os nossos usuários mas tenham reportado, e adiantamos as possíveis ataques, perante as informações, antes que eles possam acontecer a um outro usuário.

Foi adicionado algumas melhorias como a possibilidade de detectar “falsos ataques” de endereços de IP e redes “conhecidas” (clientes, rede local, provas, etc.).

Quando nosso SIPCheck2 detecta um ataque, e reporta ele ao servidor e este endereço de IP tem armazenada a sua conta, automaticamente e banido o IP em todos os seus sistemas que compartilham sua conta.

Se outro sistema reporta também o mesmo IP atacante, este endereço passa a ser oficialmente um ataque e é reportado a todos os usuários de SIPCheck2 com outras contas.

Outras das novidades é que os endereços de IP dos atacantes caducam, desaparecendo a um certo tempo, já que esta declarado que pertencem aos sistemas zombes que tem falas de segurança e que com o tempo são bloqueados ou arrumados e não tem sentido que deva permanecer por muito tempo no firewall.

Como variante, inclui um arquivo de configuração que dele podemos modificar alguns parâmetros para adaptar melhor nosso sistema, adicionar endereços de IP e redes nossas para evitar falsos positivos e algumas melhoras a mais.

Por último, SIPCheck2 esta completamente redesenhado desde o zero em Pyton, por isto ele esta mais orientado a realizar melhorias e incorporações no futuro.

O código do SIPCheck2 tem sido posto a disposição publica através da conta GitHub de Sinologic, para que qualquer pessoa possa participar e contribuir, nem que seja somente reportando problemas, melhorias e informações de BUGs que tenham detectados.

SIPCheck2 é compatível com Python 2.7 ou superior, e para alguns que faça uso do CentOS com Elastix devem instalar a versão 2.7 ou superior em seu sistema. Pode ter em um primeiro momento duas versões: Python 2.4 (que funciona algumas ferramenta do sistema e Python 2.7 ou superior. Nosso colega Eloy Coto nos ajudou muito, indicando como podemos fazer para realizar a atualização: Eloy Couto.

Pessoalmente, lhe digo, que se estiver utilizando a versão SIPCheck1, que faça a atualização para a atual versão CHIPCheck2, vale a pena. não usa tanto recursos do sistemas, é mais rápido, mais eficiente emas útil. Além do mais existe varias pessoas colaborando no desenvolvimento desta versão, e que a mesma tem muito mais manutenção e mais preparado para receber melhorias.

Lembre-se que uma das principais vantagens de SIPCheck2 é a possibilidade de reportar a um servidor central os endereços dos IPs atacantes, e receber os endereços de IP atacantes enviados por outros usuários do sistemas. Para que isto possa realmente acontecer, você tem que configurar no arquivo “sipcheck.conf” e atualizar nossa KEY para personalizar vosso usuário e que as direções de IP que tenham sido banidos pelas pessoas que utilizam o SIPCheck2. Se temos vários Asteirsk protegidos com SIPCheck, podemos configurar a mesma KEY e assim, ao detectar um atacante em uma das maquinas, fica automaticamente banido no resto do sistemas que tenham a mesma KEY. assim, ao detectar um atacante em umas das maquinas, fica banido nos resto dos sistemas que tenham a mesma chave KEY. Se um mesmo atacantes reportar que desde varais KEY, então passa a ser um atacate oficial e é reportado ao resto dos usuários da rede SIPCheck.

O próximo passo será ter um ranking de usuários que mais reportaram ataques e com isto ter um sistema completo de estatísticas, por ataques, procedência, destino, e poder tirar alguma conclusão interessante que nos ajude a melhorar a segurança de nossos sistemas Asterisk.

Por último, comentar que SIPCheck2 esta a um modo de provas e que esta sendo provado por distintos sistemas e em todos parece que funciona perfeitamente, e que agradecemos que nos informe por qualquer bug, melhoria e desenvolvimento que acredita que seja interessante.

A criação, desenvolvimento e planejamento desta aplicação tem acontecido graças a: Sergio Cotelo, Javier Vidal e a Thomas Shagún. Acreditem tem sido um trabalho de equipe, alem de varias pessoas que tem colocado sua arena de conhecimento (ou sua montanha de conhecimento) para poder fazer algo útil e que parece que funciona. Tenho qeu agradecer a Saúl e seus conselhos sobre Python e a aquelas pessoas que estão realizando o trabalho de testar e provar SIPCheck2 em seu sistema Asterisk.

Mais informação e os códigos do SIPCheck2: http://sipcheck.sinologic.net

Estatísticas e reportagens de ataques: http://sipcheck.sinologic.net/candidates/stats

Este artigo foi escrito por Elio Rojano e traduzido por Angelo Delphini.

Fonte: Sinologic

No Comments - Leave a comment

Leave a comment

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Please copy the string eiKQWM to the field below:


Welcome , today is sábado, 25 de fevereiro de 2017