Chercher un produit
Côté terrain
ScoopyFlex
ScoopTeam
ScoopFone 5G ScoopFone 4G
ScoopFone IP
ScoopFone HD
eScoopFone
Côté studio
Scoop 6
MultiScoop
µScoop
ScoopFone 5G-R ScoopFone 4G-R
ScoopFone IP-R
ScoopFoneHD-R
Software
MyScoopTeam
Scoop Manager
eScoopFone
Myscoopyflex_
Services
Remote Access
Serveur SIP AETA
Serveur STUN
LOCATION
Anciens produits
Scoop 5
Scoopy+ S
Scoopy+
Scoop5 S-IP
Scoop5 S
4MINX
Menu
Nos produits

Mon codec est attaqué, comment stopper cela ?

4 octobre 2019

Symptôme: le codec reçoit des appels intempestifs et très fréquents émanant (en apparence) d’entités inconnues et bizarres, parfois le codec semble même être appelé par lui-même. L’appareil peut alors devenir indisponible pour les appels légitimes.

En fait, il s’agit de sollicitations et attaques par des robots, utilisant par exemple l’outil SIPVicious. Le plus souvent, ces attaques sont favorisées par une exposition directe du codec à Internet sans NAT : codec sur adresse IP publique ou en DMZ, ou encore redirection statique du port public SIP 5060 vers le port SIP du codec. Dans ces divers cas, le codec sera rapidement « repéré » par des scanners et facilement attaquable. Cette exposition est donc à éviter sauf impossibilité de faire autrement. Voici quelques pistes pour contrer ces attaques:

  • Si le codec accède à Internet via NAT et utilise un serveur SIP, il est normalement inutile et déconseillé d’ajouter une route statique vers le port SIP du codec. Le routeur NAT protège contre la plupart des attaques, surtout en configuration « port restricted ».
  • Si néanmoins des routes statiques sont configurées à travers le routeur NAT, utilisez des valeurs non standard pour les ports SIP et RTP publics redirigés vers le codec, au lieu de respectivement 5060 et 5004. Les attaques visent en priorité ces ports standard.
  • Si le codec est publiquement exposé ou en DMZ (très déconseillé a fortiori), utilisez des valeurs non standard pour les ports SIP et RTP locaux du codec.
  • Enfin, vous pouvez sur la plupart des codecs AETA activer un filtrage grâce auquel le codec ne traite les appels entrants que s’ils proviennent du serveur SIP sur lequel il est enregistré. Ceci peut d’ailleurs être utilisé comme protection supplémentaire même en dehors des situations de vulnérabilité décrites ici.