Ce document décrit certaines des situations de piratage des PBX IP les plus courantes et propose quelques configurations de protection de base. Source : http://i3forum.org
Actions recommandées à réaliser
- Limitez la numérotation PSTN aux destinations essentielles que vous avez vraiment besoin d’appeler et demandez uniquement l’ouverture de ces pays/points d’accès.
- Évitez les plans de routage qui facilitent l’accès en boucle au PSTN via le PBX. Dans le cas où cela est nécessaire pour un accès d’urgence/de secours, vérifiez les informations d’identification avant l’accès.
- Vérifiez la facturation et le routage lorsque le mode sauvegarde est déclenché.
- Désactivez la connexion à distance, lorsque cela est possible, ainsi que les fonctionnalités de connexion.
- Sécurisez les ports de maintenance à distance et utilisez des modems de rappel ou des mots de passe alphanumériques. Assurez-vous que l’administration du système et les numéros de port sont sélectionnés au hasard
- Activez le contrôle d’admission des appels pour les appels simultanés, le nombre maximal de sessions, les politiques d’enregistrement, l’authentification des registres et les appels d’authentification (INVITES).
- Utilisez IPSec, TLS et SRTP pour le cryptage lors de la connexion via Internet
- Si le téléchargement de modèles pour un appareil Centrex est nécessaire, assurez-vous que le profil de téléchargement est sécurisé avec https, SCP ou un autre protocole sécurisé, car tous les utilisateurs et mots de passe sont contenus dans ce fichier.
- Pour les portails web, accès sur Internet, chiffrement des communications avec une authentification challenge/réponse et un algorithme de chiffrement fort
- Résolvez les noms de domaine complets DNS avec le moins d’informations possible sur votre réseau.
- Désactivez les ports non utilisés. Autorisez uniquement les adresses IP VoIP de confiance à vous envoyer du trafic.
- Appliquez régulièrement des correctifs et des mises à niveau. Vérifiez régulièrement auprès de votre fournisseur tout avis de sécurité nécessitant un correctif.
- Utilisez un mécanisme pour vérifier la durée des appels à long terme et les auditer en fonction des journaux
- Soyez conscient des signes de fraude au PBX tels que :
– Appels répétés de courte durée
– Nombre élevé d’appels entrants raccrochés
– Augmentation inattendue des appels entrants où l’appelant raccroche lorsqu’il répond
– L’augmentation soudaine de l’utilisation des appels gratuits ou des coûts élevés destinations
– Modification des modèles d’appels en dehors des heures d’ouverture - Activez les règles de numérotation dynamique si possible, donc les politiques de routage selon l’heure de la journée et de destination de routage et les interdictions à certaines heures (week-end, nuits, en général, en dehors de vos schémas réguliers de trafic)
- Sécurisez la périphérie avec un SBC pour protéger votre infrastructure
- Limiter l’accès et le traitement des appels aux adresses IP connues et fiables
- Changez le mot de passe par défaut pour tous vos serveurs, en particulier pour les comptes dotés de privilèges d’administrateur
- N’autorisez pas l’utilisation de codes courts par défaut ou de FAC configurés sur le serveur pour modifier les renvois d’appel, les transferts d’appel, etc.
- Utilisez une politique de mot de passe forte avec une combinaison de lettres majuscules et minuscules, de chiffres et de symboles
- N’utilisez pas de codes PIN prévisibles, tels que votre numéro de poste, votre numéro public ou vos derniers chiffres, ni de mots de passe prévisibles avec des numéros séquentiels ou incrémentiels, comme 1234 ou 1111.
- Mettre en place une politique d’expiration des mots de passe
- Établir des politiques de verrouillage de compte pour lutter contre les attaques par force brute et basées sur un dictionnaire.
Toutes ces règles doivent être appliquées à tous les
comptes de gestion du serveur Web, ainsi qu’à l’accès vocal/PBX et au serveur de messagerie vocale.
Établir des politiques de notification appropriées et sécurisées pour les comptes de verrouillage. - Bloquez tous les ports TCP inférieurs (inférieurs à 1024) vers les adresses IP publiques
- Si les ports doivent être accessibles par Internet, modifiez le numéro de port par défaut en utilisant un numéro personnalisé
- Bloquer les réponses ICMP pour les appareils critiques
- Comprenez l’appareil que vous utilisez, car certains d’entre eux peuvent autoriser l’enregistrement du point de terminaison uniquement avec une extension et sans défi d’authentification, comme un nom d’utilisateur/mot de passe. Le défi basé sur MAC n’est pas recommandé car il s’agit d’un défi faible.
- Bloquer l’accès à l’administration depuis une adresse IP publique pour les appareils VoIP
- Si un accès public est requis, mettez en œuvre des mots de passe forts et autorisez uniquement un accès IP fiable.
- Assurez-vous que ces politiques sont également appliquées au portail de messagerie vocale
- Exiger l’authentification de l’opérateur pour chaque conférence téléphonique et un code PIN composé d’au moins 6 chiffres, à modifier régulièrement
- Analysez et auditez régulièrement votre réseau à partir d’une adresse IP publique pour vérifier les ports ouverts ou d’éventuelles failles de sécurité.
- Testez vos mesures de sécurité et enregistrez les informations en essayant d’accéder à votre
propre réseau à partir d’une adresse IP publique. - Envoyez un appel vocal à votre propre réseau pour tester sa vulnérabilité
- Ignorez et bloquez complètement les messages provenant d’adresses IP inconnues. Faites un dépôt silencieux pour ne pas fournir d’informations sur votre réseau ou vos serveurs
- Ne divulguez jamais d’informations sur le système, sauf si vous savez à qui vous les donnez
- Analyser quotidiennement l’activité détaillée des appels (utilisation des CDR).
Utilisez un antivirus et des pare-feu. - Les clients peuvent avoir besoin de prendre des mesures supplémentaires en fonction du type de plate-forme/serveur/PBX utilisé.