Bloquer les scans.

[fastm3]

j'ai pas bien compris le mécanisme. on bloque les scan ou on bloque toute les IP non autorisées (ie, comptes nomades, etc...) ? si c'est que les scan, peux tu expliquer comment ?

merci

J.

Le port 5060 est la porte d'entree d'Asterisk. Ici, on limite l'acces à la porte d'entrée a une liste d'ips ( ton/tes fournisseurs sip, tes extensions enregistrees en remote le cas echeant ).
Donc toutes les autres ips n'ayant pas accés a la porte d'entrée ( drop par iptables ), il n'y aura plus de scan sauf potentiellement des ips autorisées ce qui est peu probable puisque normalement ce sont des ips de confiance.

Une fois les ips de confiance identifiées ce qui sera facile vu que j’intègre un log des tentatives bloquées sur le port 5060, ton serveur fonctionnera comme avant , les scans en moins. Tiens je viens de voir qu'il manque une ligne pour udp 5060 pour le log des tentative bloquées, je fixe.
Fastm3.

[fastm3]

J'ai extrait ci-dessous juste la partie bloquant les ips qui ne sont pas de confiance pour que ca soit plus simple.

Code:

$IPT -A INPUT  -s 192.168.10.0/24 -i eth0 -p udp --dport 5060  -j ACCEPT
#on autorise certains fournisseurs sip
#on ajoutera aussi ses propres ip externes
$IPT -A INPUT  -s ipconfiance_1 -i eth0 -p udp --dport 5060  -j ACCEPT
$IPT -A INPUT  -s ipconfiance_n -i eth0 -p udp --dport 5060  -j ACCEPT
$IPT -A INPUT -i eth0 -p udp --dport 5060  -j  LOG_DROP

En gros, on dit ok pour ipconfiance_1 et ipconfiance_1 et tous les autres, on les bloque en les envoyant vers la chaine qui va logger le blocage. Si on ne veux pas de log, remplacer LOG_DROP par DROP.
J'espere que c'est plus clair.
Fastm3.

[jean]

ok - donc en fait, c'est pas un mécanisme qui bloque les scan, c'est un mécanisme qui bloque les IP inconnues.

Comment gère tu les comptes nomades ou clients avec IP dynamique ?

[fastm3]

ok - donc en fait, c'est pas un mécanisme qui bloque les scan, c'est un mécanisme qui bloque les IP inconnues.

Oui et non, car si tu bloques les ips inconnues, tu bloques les scans...Mais je pense qu'en effet tu as saisi le principe.

Comment gère tu les comptes nomades ou clients avec IP dynamique ?

C'est a eviter. Free, sfr pro, orange pro ont tous des ips fixes, donc c'est souvent possible pour des postes fixes externes sinon, la solution est le vpn.
Mais rien ne t'empeche deja de mettre un /24 ou meme /16 des differents subnets pour les ips dynamiques.
Si tu ne peux pas faire autrement, fail2ban + acl pour toutes les extensions ou l'on peut.
On limite aussi les comptes nomades a 1 canal par exemple et un script d'alerte quand le volume augmente significativement. Mais ce ne sont que des mesures qui limiteront la casse.
Je ne suis pas sur d'ailleurs de l'interet des postes nomades en sip sachant que plein d'offres pro seront quasi aussi competitives avec le risque en moins et une qualité maitrisée.
Au pire disa et/ou callback , mais bon c'est le genre de chose qu'on monte souvent pour le fun et pour un usage perso ponctuel.
Fastm3.