Des conseils de sécurité pour votre 3CX

La troisième partie du voyage dans la sécurité 3CX est arrivée. Après un premier et un deuxième épisode « se protéger contre les fraudes téléphonique », le temps est venu pour vous dire comment protéger votre système des intrusions extérieures avec quatre conseils importants. Je suis certain que vous en tirerez le meilleur parti.

Conseil n°1 : Gardez la liste noire des IP globale actif

La liste noire globale est une fonctionnalité qui est active par défaut sur toutes les installations de 3CX. Elle bloque un grand nombre d’adresses IP frauduleuses connues et vise à vous protéger d’attaques malveillantes et inhabituel. La liste noire globale permet aux services non autorisés d’accéder au serveur du téléphone, au lieu d’interdire l’accès.

Il est également utile de savoir si vous voyez des millions d’allers-retours avec des adresses IP publiques en provenance du même numéro d’extension SIP.

Si tel est le cas, il est fort probable que votre numéro d’extension SIP a été piraté et utilisé par un pirate informatique pour traquer un réseau local.

Il peut y avoir d’autres explications, alors soyez prêt à effectuer des recherches une fois que vous repérez ce problème.

Quand votre liste noire globale est inactive, votre journal enregistrera des événements de liste noire et des essaies d’authentifications raté de faux user-agents SIP tels que Polycom VVX, Asterisk, Avaya…

Les attaquants qui souhaitent lancer une attaque par inondation SIP ont le choix entre de nombreux outils. L’attaquant peut utiliser les techniques DDoS standard ; cependant, la complexité de ces techniques les rend difficiles à maîtriser. La plupart d’entre elles ont relativement peu de chances de trouver une vulnérabilité chez leur victime, bien qu’elles puissent s’avérer fructueuses si la cible est mal configurée ou ne dispose pas de filtrage des entrées.

Les attaquants déterminés passeront probablement du temps à analyser leur victime et à développer une approche personnalisée pour attaquer chaque site. Comme indiqué plus haut, un attaquant peut également utiliser des clients BitTorrent modifiés ou d’autres proxys ouverts courants qui sont facilement disponibles sur les marchés légaux et clandestins, ainsi que sur les forums consacrés à leur discussion.

Ces attaques peuvent se produire derrière des VPN et des hôtes compromis, ou même à partir des serveurs et des appareils de fournisseurs de services légitimes. Lorsqu’ils sont modifiés, ils apparaissent mal configurés et servent de relais SIP ouverts. Le résultat est que les attaquants peuvent lancer des messages REGISTER vers vos systèmes tout en se cachant derrière des services tiers.

Conseil n°2 : Soyez sûr que l’entrée aux ports est restreinte

Lorsque vous déployez un système PBX, il est très important de restreindre les ports utilisés afin de protéger votre système contre les attaques externes. Par exemple, le port SIP 5060 (UDP/TCP) doit être restreint à une liste limitée de terminaux de confiance et de plages IP spécifiques à votre opérateur VoIP.

Interface web du téléphone

En raison des options d’authentification limitées, ce téléphone a été configuré avec un mot de passe codé en dur. Ainsi, l’interface utilisateur web du téléphone est exposée au WAN externe.

Un attaquant ayant accès au WAN peut exploiter tous les utilisateurs internes qui se sont authentifiés sur leur téléphone via HTTP/HTTPS.

Si un mot de passe par défaut n’est pas utilisé, cet accès permet à un attaquant de prendre pied dans le réseau d’une organisation et doit être considéré comme un risque critique. Afin d’atténuer ce risque à un niveau acceptable, il peut être nécessaire de désactiver complètement l’interface utilisateur Web.

Cela ne devrait jamais être autorisé. L’ouverture des ports de l’interface utilisateur aux accès externes présente de multiples risques, si :

Le firmware de la marque n’est pas à jour
Le mot de passe a été changé et est faible
Des failles Zero-day sur de modèles/versions données sont découvertes et exploitées
Les appareils exposés sont en train d’utiliser des outils comme Shodan.

Il est extrêmement important de conserver vos terminaux derrière un NAT pour assurer la sécurité du réseau. Si un pirate peut voir le côté Internet de votre terminal, il peut essayer de le compromettre sans que vous le sachiez.

SSH sans filtre

La plupart des internautes savent que le port TCP 22 est le port par défaut utilisé par SSH.

Cependant, beaucoup d’entre eux ne comprennent pas les implications de laisser ce port ouvert aux attaques. Cet article traite des risques et des problèmes de sécurité liés à l’exécution d’un serveur SSH sur son port par défaut, et devrait vous aider à décider si le déplacement de votre serveur vers un autre port en vaut la peine.

Conservez des serveurs individuels 3CX

Bien que de nombreux outils tiers soient disponibles pour faciliter l’utilisation d’un PBX VoIP, les choix les plus courants se font sur site, sans ports publics à cibler par les attaquants.

Jusqu’à ce que votre serveur dispose de plusieurs services qui peuvent tous se lier à de nouveaux ports, créant ainsi une plus grande surface d’attaque et permettant à votre PBX d’être ouvert aux attaques internes et externes.

Conseil n°3 : Garantir vos sauvegardes grâce à des mots de passe

Vos données de sauvegardes devraient avoir la meilleure protection grâce à des mots de passe, puisque nous avons vu par le passé des failles qui pouvait être très vite détourné par les hackeurs.

C’est pour cela qu’il est important d’adopter le chiffrement sur toutes vos installations 3CX avec des mots de passe différents.

Pareil pour l’utilisation du répertoire commun pour la totalité des sauvegardes n’est pas une très bonne idée. Si le répertoire est corrompu, vous risquez d’avoir vos systèmes piratés en même temps.

Conseil n°4 : Barricadez la console d’administration

Pour terminer, avez-vous déjà entendu parler de la section des restrictions dans la console d’administration ? Elle permet de définir quelles adresses IP publiques ont l’autorisation de se connecter. Qui que ce soit d’autre, même avec des ID corrects, il sera automatiquement exclu.