VoIP OPTIONS scanning (임계치에 대하여..)

alert ip any any -> $HOME_NET $SIP_PROXY_PORTS \

 (msg:”OPTIONS SIP scan”; content:”OPTIONS”; depth:7; \

 threshold: type both , track by_src, count 30, seconds 3; \

 sid:5000004; rev:1;)

 

 

enablesecurity 사에서 운영하는 블로그인 sipvicious 에 올라온 rule이다.

 해당 룰의 문제점은 사업자 proxy서버와 회사의 사설 SIP server가 50대정도의 회선을 register한다면

 3초에 30건의 OPTIONS 패킷은 가능하다

 

위 의견에 대하여 블로그 운영자인 동시에 enablesecurity사의 설립자인 sandro와 얘기해 본 결과

 the rules have to be changed / modified according to your VoIP setup. They also have to be properly tested.

 라고한다.

 

 시그니처는 시그니처 일 뿐이다.

이 시그니처가 얼마나 정확하게 움직이느냐는 환경에 맞게 작성한 사람의 일이다.

만약 ITSP업체라면 임계치가 높아야 한다.

하지만 문제는 평소에 옮겨 다니는 OPTIONS 정상 패킷이 스캐닝보다 많을 수 있다는 것이다.

 

반대로 회사의 경우라면 사업자 SIP proxy와 회사내부의 SIP server만이 주고받는 OPTIONS만 신경 쓰면된다.

 

스캐닝 행위를 탐지하는것은 어렵고 공격이라고 간주하기도 힘들다.

물론 이 시그니처는 사용하려는 사용자의 환경에 맞게 셋팅되어야 한다.

또한 여러가지 조건을 따져봐야한다.

 

임계치는 항상 변화해야한다.

항상 환경과 규모를 생각하고 움직여야한다.

Advertisements

About this entry