Hace tiempo tuve la necesidad de proteger algunas centrales IP y desarrolle una serie de reglas que protegen a una central telefónica IP como un asterisk, de ataques SIP. Me la tuve que rebuscar bastante para lograr tener algo funcional.
Un usuario del foro de MikroTik ha desarrollado un par de regla simples t bastante interesantes que permiten proteger una centralita.
La idea es mirar la primer registración sip (new) al puerto 5060 y si en 15 segundos no puede lograr el handshake (login) con el servidor -usualmente el registro llega 3 segundos como mucho-, lo coloca en una lista negra por 1 día para banear el IP.
Las reglas son:
/ip firewall filter add chain=forward in-interface=ether1-gateway src-address-list="SIP Hacker" action=drop
/ip firewall filter add chain=forward protocol=udp dst-port=5060 connection-state=new src-address-list="SIP Trial" in-interface=ether1-gateway action=add-src-to-address-list address-list="SIP Hacker" address-list-timeout=1d
/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=udp dst-port=5060 in-interface=ether1-gateway connection-state=new action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=00:00:15
Es una buena alternativa para hacer una protección básica de una centralita IP. Obvio que hay que se puede mejorar mucho mas, pero la base esta muy bien.
vía: MikroTik
Grupo MKE SAS
Hola Maxi. suelo leer tu paginas y siempre saco cosas interesantes para implementar y probar.
Hoy estaba viendo esto y me parece que falta alguna regla para add list.
Cual es el criterio para meter a una IP en la lista de «SIP HACKER»?
Basicamente que intente hacer conexiones en menos de 15 segundos? esa seria todo?
No se puede agregar algun layer7 o content para filtrar con intentos de login incorrectos?
Saludos desde Cordoba 😀