Cómo detectar ataques SIP en su softswitch

Toda empresa que tiene un softswitch, antes o después, se ve ante el riesgo de un ataque SIP. Este tipo de ataques pueden suponer dejar un sistema fuera de servicio o pérdidas económicas de importancia. El miedo no va a resolver nada, al contrario, uno debe entender bien los aspectos de seguridad de VoIP para proteger los servidores adecuadamente.

En esta entrada hablaremos de uno de los ataques SIP más populares y cómo protegernos ante él.

¿En qué consiste?

Un friendly-scanner (todos hemos oído hablar de SIPVicious, por ejemplo) es una especie de robot que escanea todas las IPs conectadas a internet para ver cuáles de ellos se comunican a través del puerto 5060 (el puerto habitual para SIP). En el momento en que localiza una IP que usa ese puerto, deduce que es un softswitch o una PBX e intenta un ataque de fuerza bruta consistente en probar combinaciones de usuario y clave que comunmente se utilizan, con la esperanza de que alguna de ellas funcione. Una vez que consiga un acceso, a través de esa cuenta circulará tráfico internacional por el que el hacker no habrá pagado nada.

El siguiente vídeo ilustra cómo un hacker ejecuta este tipo de ataque:

¿Y qué pasa entonces?

Si el ataque tiene éxito su sistema rápidamente se llenará de llamadas. El friendly-scanner puede mandar algunas llamadas cada pocas horas o enviar una oleada de llamadas de una vez, llegando a enviar más de 80 peticiones por segundo. Y, si no hacemos nada, puede durar así durante horas, días o incluso semanas, con el trastorno que eso puede generar .

Se suele notar problemas con el registro de dispositivos, una gran lentitud de la red y un uso desmedido del ancho de banda.

Desafortunadamente, este tipo de ataques se suelen llevar a cabo en días y horas en que el hacker supone que no estamos delante de la pantalla. Madrugadas y festivos son sus momentos favoritos.

¿Cómo podemos bloquear estos ataques?

Bloqueando la IP del atacante. Esto se puede conseguir mediante las iptables.

Cambio de puertos. Como dijimos antes, el puerto que se busca en uso es el 5060, bastaría con usar otro puerto para evitar riesgos. En la práctica, hay casos en que no es sencillo aplicar este cambio sobre dispositivos o equipos remotos obsoletos.

Bloquear por usuario-agente. Es posible bloquear los mensajes SIP que contengan determinados términos «sospechosos». Sería conveniente bloquear siempre los siguientes términos:

sipcli
sipvicious
sip-scan
sipsak
sundayddr
friendly-scanner
iWar
CSipSimple
SIVuS
Gulp
sipv
smap
friendly-request
VaxIPUserAgent
VaxSIPUserAgent
siparmyknife
Test Agent

Bloquear los intentos de registro. Al detectar que una IP intenta registrarse sin éxito en varias ocasiones durante un intervalo corto de tiempo, fail2ban bloqueará automáticamente esa IP temporal o definitivamente para su seguridad. Eso es algo que, con MOR, ya le está protegiendo de manera pasiva de muchos riesgos… 🙂

¿Hay alguna solución definitiva?

Siendo conscientes de que los hackers siempre intentan ir por delante de los usuarios prudentes, la solución definitiva pasa por definir limitaciones a nivel de router o de firewall. Hay otras soluciones como pedir al proveedor de internet que bloquee esas IPs que consideramos sospechosas e incluso otras más imaginativas como crear redes virtuales en las que dejar al hacker creer que está conectado y mandando llamadas o devolverle un OK falso para hacerle pensar que se registró y mantenerle entretenido enviando llamadas a «ningún sitio».

Al final, de todos modos, la seguridad de un softswitch, que debe de ser una máquina de hacer dinero, es algo muy delicado y tiene que estar supervisado por personal profesional y de confianza. Y el sistema, en sí mismo, tiene que facilitar todas esas labores. La palabra clave: MOR.

Fill out my online form