Blocage SIP ?

Message par **Ryu_wm** » lun. 13 juin 2016 21:43

Bonjour/bonsoir

Depuis des mois j'ai des saloperies en SIP vers mon réseau domestique.
J'ai tenté tant bien que mal d'éduquer mon PfSense contre ça mais je ne peux pas bloquer "SIP" aussi je me contente de blacklister les IP sources.

Cela fait bientôt 1 an que "l'attaquant" opère depuis St Louis (USA), mais ces derniers jours comme j'ai blacklisté sa communauté réseau il "m'attaque" depuis des IP françaises (étrange comme comportement ?)

Plus je verrouille ses @IP sources, plus il attaque ?!

quelqu'un à une piste pour éradiquer ce genre d'attaque svp

Code : Tout sélectionner

2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 39. 777637 rule 69/0(match): [b][#38FF00]block[/#38FF00][/b] in on le1: (tos 0x0, ttl 50, id 8104, offset 0, flags [DF], proto UDP (17), length 435) [b][#FF0E00]177.133.142.229.5061[/#FF0E00][/b] > 192.168.1.2.5060: SIP, length: 407
2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 	OPTIONS sip:100@62.35.179.243 SIP/2.0
2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 	Via: SIP/2.0/UDP 127.0.0.1:5061;branch=z9hG4bK-3356844076;rport
2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 	Content-Length: 0
2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 	From: "[b][#FF0E00]sipvicious"[/#FF0E00][/b];tag=3|\272\001\020\000\001\000\000\000\000\000\000 FHEPFCELEHFCEPFFFACACACACACACABN\000\000 \000\001\000\000\001\000\000\000E\000\000(N1@\000\200\006@c\300\250\000\012\330:\323N\006\236\001\273\022\214\257\327go\253CP\024\000\000f%\000\000l\005_W\332\373\003\000h\000\000\000h\000\000\000\024\000\000\000=\002\001\000le0\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000M\377\377\377\377\377\377\377\377\240\206\001\000\000\000\000\000C5\000\000\001\000\000\000E\000\000(ND@\000\200\006B\266\300\250\000\012\330:\320\350\006\234\001\273PT\231\313\257\204\336`P\024\000\000\305\236\000\000l\005_W\023\374\003\000h\000\000\000h\000\000\000\024\000\001\000=\002\001

Message par **Zedoune** » lun. 13 juin 2016 22:02

n'autorise que ton fournisseur de service sip sur le port 5060 et plus de soucis

Message par **Ryu_wm** » lun. 13 juin 2016 22:40

Je n'ai aucun service SIP d'ouvert ni chez moi ni chez mon fournisseur.

Visiblement SIP est UDP et tape dans les 5060, ceci tombe dans une plage ouverte pour un autre service (NAT de VNC), je serai donc contraint à NATer depuis d'autres ports ?

Message par **gizmo78** » lun. 13 juin 2016 22:48

VNC en udp ? oO

Message par **Ryu_wm** » lun. 13 juin 2016 22:53

@Gizmo : faut bien feinter ...

@Z: ajouté règle suivante :
Deny from (ip)any : (proto)UDP to (LAN):5060

je verrai ce que ça dit.

Message par **Zedoune** » lun. 13 juin 2016 22:55

@Gizmo : faut bien feinter ...

@Z: ajouté règle suivante :
Deny from (ip)any : (proto)UDP to (LAN):5060

je verrai ce que ça dit.

ben t'auras plus de problème, ton vnc tu peux le mettre ailleurs mais ça m'étonne que ça marchait en UDP

Message par **dsebire** » mar. 14 juin 2016 12:48

j'ai utilisé du VNC en UDP sur du lan, ça marche niquel (pas poussé le vice jusqu'à essayer au travers d'internet)

Message par **Zedoune** » mar. 14 juin 2016 14:24

Sinon ryu, tu peux faire du port knocking, ça consiste à établir une séquence de ports que tu demandes depuis n'importe où et d'exécuter une commande sur le pare-feu (genre autoriser l'adresse qui a fait la séquence à utiliser un port).

après, tu appelles tes ports (ça marche dans firefox en demandant http://truc:2000 http://truc:2001 http://truc:4056) pour faire la séquence TCP SYN 2000 2001 4056

Message par **Ryu_wm** » sam. 18 juin 2016 16:00

@Z : depuis 5060 bloqué c'est RAS

Port knocking oui merci je sais

@Dsebire : cqfd