Des conseils de sécurité pour votre 3CX – Vol 3

Des conseils de sécurité pour votre 3CX

La troisième partie du voyage dans la sécurité 3CX est arrivée. Après un premier et un deuxième épisode « se protéger contre les fraudes téléphonique », le temps est venu pour vous dire comment protéger votre système des intrusions extérieures avec quatre conseils importants. Je suis certain que vous en tirerez le meilleur parti.

Conseil n°1 : Gardez la liste noire des IP globale actif

La liste noire globale est une fonctionnalité qui est active par défaut sur toutes les installations de 3CX. Elle bloque un grand nombre d’adresses IP frauduleuses connues et vise à vous protéger d’attaques malveillantes et inhabituel. La liste noire globale permet aux services non autorisés d’accéder au serveur du téléphone, au lieu d’interdire l’accès.

Il est également utile de savoir si vous voyez des millions d’allers-retours avec des adresses IP publiques en provenance du même numéro d’extension SIP.

Si tel est le cas, il est fort probable que votre numéro d’extension SIP a été piraté et utilisé par un pirate informatique pour traquer un réseau local.

 

Il peut y avoir d’autres explications, alors soyez prêt à effectuer des recherches une fois que vous repérez ce problème.

Quand votre liste noire globale est inactive, votre journal enregistrera des événements de liste noire et des essaies d’authentifications raté de faux user-agents SIP tels que Polycom VVX, Asterisk, Avaya…

 

Les attaquants qui souhaitent lancer une attaque par inondation SIP ont le choix entre de nombreux outils. L’attaquant peut utiliser les techniques DDoS standard ; cependant, la complexité de ces techniques les rend difficiles à maîtriser. La plupart d’entre elles ont relativement peu de chances de trouver une vulnérabilité chez leur victime, bien qu’elles puissent s’avérer fructueuses si la cible est mal configurée ou ne dispose pas de filtrage des entrées.

 

Les attaquants déterminés passeront probablement du temps à analyser leur victime et à développer une approche personnalisée pour attaquer chaque site. Comme indiqué plus haut, un attaquant peut également utiliser des clients BitTorrent modifiés ou d’autres proxys ouverts courants qui sont facilement disponibles sur les marchés légaux et clandestins, ainsi que sur les forums consacrés à leur discussion. 

 

Ces attaques peuvent se produire derrière des VPN et des hôtes compromis, ou même à partir des serveurs et des appareils de fournisseurs de services légitimes. Lorsqu’ils sont modifiés, ils apparaissent mal configurés et servent de relais SIP ouverts. Le résultat est que les attaquants peuvent lancer des messages REGISTER vers vos systèmes tout en se cachant derrière des services tiers.

Conseil n°2 : Soyez sûr que l’entrée aux ports est restreinte

Lorsque vous déployez un système PBX, il est très important de restreindre les ports utilisés afin de protéger votre système contre les attaques externes. Par exemple, le port SIP 5060 (UDP/TCP) doit être restreint à une liste limitée de terminaux de confiance et de plages IP spécifiques à votre opérateur VoIP.

Interface web du téléphone

En raison des options d’authentification limitées, ce téléphone a été configuré avec un mot de passe codé en dur. Ainsi, l’interface utilisateur web du téléphone est exposée au WAN externe.

Un attaquant ayant accès au WAN peut exploiter tous les utilisateurs internes qui se sont authentifiés sur leur téléphone via HTTP/HTTPS. 

Si un mot de passe par défaut n’est pas utilisé, cet accès permet à un attaquant de prendre pied dans le réseau d’une organisation et doit être considéré comme un risque critique. Afin d’atténuer ce risque à un niveau acceptable, il peut être nécessaire de désactiver complètement l’interface utilisateur Web.

Cela ne devrait jamais être autorisé. L’ouverture des ports de l’interface utilisateur aux accès externes présente de multiples risques, si :

  • Le firmware de la marque n’est pas à jour
  • Le mot de passe a été changé et est faible
  • Des failles Zero-day sur de modèles/versions données sont découvertes et exploitées
  • Les appareils exposés sont en train d’utiliser des outils comme Shodan.

Il est extrêmement important de conserver vos terminaux derrière un NAT pour assurer la sécurité du réseau. Si un pirate peut voir le côté Internet de votre terminal, il peut essayer de le compromettre sans que vous le sachiez.

SSH sans filtre

La plupart des internautes savent que le port TCP 22 est le port par défaut utilisé par SSH. 

Cependant, beaucoup d’entre eux ne comprennent pas les implications de laisser ce port ouvert aux attaques. Cet article traite des risques et des problèmes de sécurité liés à l’exécution d’un serveur SSH sur son port par défaut, et devrait vous aider à décider si le déplacement de votre serveur vers un autre port en vaut la peine.

Conservez des serveurs individuels 3CX

Bien que de nombreux outils tiers soient disponibles pour faciliter l’utilisation d’un PBX VoIP, les choix les plus courants se font sur site, sans ports publics à cibler par les attaquants. 

Jusqu’à ce que votre serveur dispose de plusieurs services qui peuvent tous se lier à de nouveaux ports, créant ainsi une plus grande surface d’attaque et permettant à votre PBX d’être ouvert aux attaques internes et externes.

Conseil n°3 : Garantir vos sauvegardes grâce à des mots de passe

Vos données de sauvegardes devraient avoir la meilleure protection grâce à des mots de passe, puisque nous avons vu par le passé des failles qui pouvait être très vite détourné par les hackeurs. 

C’est pour cela qu’il est important d’adopter le chiffrement sur toutes vos installations 3CX avec des mots de passe différents.

Pareil pour l’utilisation du répertoire commun pour la totalité des sauvegardes n’est pas une très bonne idée. Si le répertoire est corrompu, vous risquez d’avoir vos systèmes piratés en même temps.

Conseil n°4 : Barricadez la console d’administration

Pour terminer, avez-vous déjà entendu parler de la section des restrictions dans la console d’administration ? Elle permet de définir quelles adresses IP publiques ont l’autorisation de se connecter. Qui que ce soit d’autre, même avec des ID corrects, il sera automatiquement exclu.

Vous avez besoin d’accompagnement ? SerenIT est partenaire 3CX !

3CX Hôtel une solution de téléphonie complète pour les hôtels

3CX Hôtel est la solution idéale pour les hôteliers qui cherchent à remplacer leur ancien PBX par un système moderne basé sur IP. 3CX vous offre une mobilité totale. En remplaçant votre ancien système téléphonique par 3CX, vous économiserez jusqu’à 80% sur les coûts d’appel et les frais de gestion et augmenterez la productivité et la mobilité de votre personnel !

Continue reading

Se protéger contre les fraudes téléphoniques 3CX – Vol 2

Comment repérer une fausse offre téléphonique et se protéger contre les escroqueries ?

Avez-vous déjà reçu un appel téléphonique étrange d’un numéro que vous ne reconnaissiez pas ? 

Ou avez-vous déjà vu une offre étrange pour un nouveau service de téléphonie cellulaire de la part d’une personne que vous connaissez ? Sur le moment, l’offre vous a peut-être semblé anodine. Mais, en réalité, ces appels téléphoniques et ces offres pourraient faire partie d’une escroquerie téléphonique. 

Ces types d’escroqueries sont de plus en plus courants. Elles ne touchent pas seulement des personnes dans le monde entier. Elles touchent aussi des personnes dans votre propre ville. C’est pourquoi il est important de savoir comment repérer une arnaque téléphonique et se protéger de ce type d’offres.

 Si l’on vous a proposé de vous inscrire à un nouveau service de téléphonie mobile, lisez ce qui suit pour savoir comment vous protéger des arnaques.

Nous avons parlé récemment de l’usage d’identifiants faibles et non sécurisés dans « Sécurisez votre solution 3CX – barrière anti-piratage ». Nous allons maintenant nous concentrer sur ce piratage très intéressant que les hackers adorent : passer des appels gratuits depuis vos trunks SIP.

Quel est l’objectif d’un Hacker ?

Une fois qu’ils ont accès à l’appareil ou au poste d’un utilisateur, les attaquants vont généralement faire profil bas jusqu’à la nuit ou le week-end. Ils attendent que personne ne soit au bureau, puis tentent de passer des appels de test vers des destinations étrangères. Une fois qu’ils auront identifié celles qui fonctionnent, ils passeront des appels en masse vers ces destinations. C’est la base de la fraude téléphonique.

Les destinations appelées sont premium et hors de prix, et se connectent à des SVI automatisés qui diffusent des messages préenregistrés. Les pirates tentent de faire durer les appels vers ces destinations aussi longtemps que possible. Vous devez maintenant vous demander quel est leur objectif.

À retenir : La fraude téléphonique est un moyen courant pour les pirates de tirer profit de la compromission des comptes des utilisateurs.

Il est assez facile de comprendre comment les pirates peuvent exploiter ce phénomène. Tout commence par un nouveau numéro de téléphone que le pirate possède. Ces numéros peuvent être achetés en ligne sur des sites spécialisés. Le prix des numéros Premium se situe souvent entre 15 et 30 euros par mois, mais les pirates peuvent aussi louer des numéros courts auprès de leurs fournisseurs ou simplement écrire un programme pour les générer automatiquement, ce qui réduit encore plus la barrière à l’entrée

Le saviez-vous ?

Ce type de fraude téléphonique est appelé « International Revenue Share Fraud » (IRSF) et existe depuis plus de 30 ans dans le monde des télécommunications. 

Cependant, les progrès de la VoIP ont permis d’industrialiser et d’automatiser ce phénomène, et on estime qu’il entraîne des milliards de pertes chaque année. La Communication Fraud Control Association (CFCA) a estimé qu’il s’agissait du plus grand type de fraude, coûtant 5,04 milliards de dollars dans son enquête sur les pertes dues à la fraude de 2019. Il ne fait aucun doute que ce chiffre a encore augmenté au cours de la période COVID.

Pour terminer, si votre système est victime d’une fraude téléphonique, vous pourriez être amené à payer des factures de téléphone conséquentes qui se comptera certainement en centaines d’euros, si ce n’est pas plus.

Qu’est ce qui favorise la fraude téléphonique ?

  • Une configuration du système mal faite : 

Nous utilisons l’exemple d’un appel sortant vers un centre de service client qui traite à la fois les appels internationaux et les appels locaux/nationaux, mais de nombreux scénarios commerciaux peuvent être construits à partir de ce même exemple. Tout d’abord, vous ne devez pas mettre en œuvre des règles sortantes trop souples. Une bonne habitude est d’avoir des règles séparées pour les numéros internationaux et locaux/nationaux, et les règles pour les numéros internationaux doivent être les plus restrictives.

Les numéros internationaux, selon les normes de l’UIT, commencent par un code de sortie tel que + ou 00 pour la plupart des pays. D’autres, comme les États-Unis, ont un code différent, le 011.

Vous pouvez donc avoir une règle pour les pays avec ces critères de préfixe séparés par des virgules : « 00, + » et définir exactement qui peut passer des appels via cette règle.

Vous pouvez travailler avec l’avantage d’un numéro local, ou vous pouvez utiliser un préfixe différent afin de distinguer vos règles de sortie en fonction des pays.

  • Une liste de pays tolérant :

En outre, les codes de pays que vous souhaitez activer dans votre système téléphonique doivent être configurés à l’avance. Les codes pays que vous ajoutez à cette liste peuvent ne pas correspondre à « tous » les pays du monde et doivent être limités aux codes qui seront réellement utilisés.

Cette liste est limitée par défaut au seul pays où vous avez installé votre système 3CX, dans l’idée qu’il est plus facile de restreindre les appels à un nombre limité que d’établir un nombre indéfini de règles autrement.

Lorsque vous composez un numéro international, votre système contrôle s’il existe une règle sortante et si le code du pays est permis avant de lancer l’appel, la solution apporte une sécurité supplémentaire.

Pour conclure,

Il existe multiples moyens de contrôle pour se protéger de la fraude téléphonique. Les utilisateurs de nombreux opérateurs VoIP doit être configuré dès qu’il est disponible.

Avec des fonctions que 3CX met en place tel que :

  • Les restrictions de pays à configurer pour qu’elles correspondent à celles de 3CX
  • Le nombre d’appels sortants simultanés maximum
  • Les limites de crédit, pour éviter les rechargements illimités
  • Les notifications mail/le blocage du compte après que des activités d’appels suspectes ont été détectées

Il est temps de découvrir 3CX avec SerenIT !

Cybersécurité

Cybersécurité

Les entreprises sont confrontées à de nombreuses menaces de cybersécurité qui peuvent potentiellement affecter leurs résultats. Découvrez quelles sont ces menaces et comment vous pouvez vous en défendre.

Continue reading

PRA / PCA

PRA et PCA

Si vous dirigez ou gérez une entreprise, il est important d’avoir un plan de reprise d’activité et un plan de continuité des activités. Ces deux plans englobant ce que l’entreprise fera pour continuer à fonctionner en cas de catastrophe. Ces plans sont essentiels pour toute entreprise qui opère sur Internet et offre des services aux clients afin de s’assurer de leur confiance et de leur fidélité.

Continue reading