Sécurité PBX
From VoIP.ms Wiki
| [checked revision] | [checked revision] |
| (6 intermediate revisions not shown) | |||
| Line 1: | Line 1: | ||
| - | + | {| class="wikitable" | |
| + | |+ | ||
| + | |- | ||
| + | ! Article in English !! Artículo en Español | ||
| + | |- | ||
| + | | [https://wiki.voip.ms/article/PBX_Security English] || | ||
| + | [https://wiki.voip.ms/article/Seguridad_en_PBX Español] | ||
| + | |} | ||
| - | |||
| - | + | Sur la base de la vision large que nous avons de milliers de clients, nous pensons que la plupart des cas de piratage dans le but de passer des appels indésirables peuvent être évités en suivant ces suggestions: | |
| - | + | 1) Utilisez des mots de passe forts: nous ne saurions trop insister sur celui-ci: utilisez des mots de passe forts! L'une des premières actions que de nombreuses personnes font après avoir installé leur PBX est souvent de créer une ligne téléphonique avec un mot de passe simple. Évitez d'utiliser des mots de passe d'extension courts ou faibles. N'oubliez pas d'utiliser des mots de passe d'au moins 8 caractères, y compris un mélange de majuscules et de minuscules avec des chiffres. N'oubliez pas de les changer périodiquement tous les 2-3 mois au maximum. | |
| - | + | 2) Internet public: évitez de laisser vos systèmes PBX, adaptateurs ATA et téléphones IP ouverts à Internet. N'utilisez pas le mode DMZ sur votre routeur et ne transférez pas de ports vers votre équipement, sauf si vous savez absolument ce que vous faites. Cela n'est nécessaire que dans des cas spécifiques et ne le laissez ouvert à Internet que si vous avez de l'expérience sur la façon de gérer correctement la sécurité sur un équipement ouvert à Internet. | |
| - | + | ||
| - | + | 3) Confirmez que les mots de passe administrateur et invité de la configuration de votre PBX ont été modifiés en quelque chose de fort, en vous assurant que vous ne pouvez pas accéder à votre appareil en utilisant les mots de passe par défaut qui apparaissent dans votre manuel (par exemple, admin). Il est très important que vous vous souveniez de ce nouveau mot de passe au cas où vous auriez besoin d'apporter d'autres modifications à votre configuration à l'avenir. | |
| - | + | 4) Asterisk Tweak: Si vous utilisez un PBX basé sur Asterisk, ajoutez la ligne suivante au fichier sip.conf sous la section [general] et lancez un rechargement | |
| + | alwaysauthreject = yes | ||
| - | + | Ce que fait ce paramètre, c'est qu'il renverra toujours une erreur d'authentification au lieu d'un .404 introuvable:., Même si le poste interne n'existe pas. Cela augmente la difficulté des scanners de force brute lorsqu'ils attaquent votre PBX. | |
| - | + | 5) Trixbox, PBX dans un Flash et une autre interface Web basé sur PBX: Modifiez le mot de passe qui vient par défaut. Différentes versions d'installations PBX sont fournies avec des mots de passe d'administration par défaut. Assurez-vous de changer les mots de passe qui viennent par défaut immédiatement après votre installation et assurez-vous également que l'interface Web n'est pas accessible depuis Internet. | |
| - | + | 6) Plan de numérotation PBX: effectuez-vous des appels internationaux? Sinon, n'autorisez pas les appels internationaux à partir de votre PBX. Dans Asterisk, supprimez ._011.. Ou .00_. . Ne jamais utiliser ._... Si vous n'appelez régulièrement que quelques pays, activez ces pays uniquement. Par exemple: le seul pays que vous appelez est le Royaume-Uni? Configurez uniquement _01144. Dans votre plan de numérotation. | |
| - | + | ||
| - | + | ||
| - | + | 7) Soyez prudent lorsque vous voyagez: prévoyez-vous d'utiliser un logiciel dans un cybercafé aléatoire? Assurez-vous de supprimer vos informations de connexion après l'avoir utilisé et désinstallez le logiciel si possible. | |
| - | + | 8) Asterisk et Fail2ban: En tant qu'étape supplémentaire, vous pouvez installer un outil de sécurité supplémentaire tel que fail2ban, qui est un système gratuit de détection de force brute, il analyse les fichiers journaux de votre PBX puis prend des mesures en fonction des entrées de ces journaux. | |
| + | (http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk). | ||
| - | + | 9) Faites en sorte que votre équipement PBX écoute un port différent de 5060/5061: Si votre PBX est ouvert à Internet, vous pouvez réduire considérablement les tentatives de scan / force brute en utilisant un port SIP différent pour les connexions entrantes. | |
| + | |||
| + | 10) Restrictions de compte: VoIP.ms offre de nouvelles options qui peuvent aider pour la sécurité, reportez-vous au Menu principal >> Paramètres du compte >> sélectionnez l'onglet "Restrictions de compte" (https://www.voip.ms/m/settings.php) . Ces paramètres définissent les restrictions que le système utilisera lorsque vous passez des appels vers USA48, Canada ou numéros internationaux. Il est fortement conseillé d'utiliser les restrictions par pays, cet outil vous aidera à éviter d'avoir des appels vers des pays que vous n'avez pas du tout l'intention de joindre. | ||
| + | |||
| + | Il existe diverses autres mesures que vous pouvez effectuer pour sécuriser votre équipement VoIP, mais cet article couvre certains des aspects les plus importants. La technologie et les méthodes utilisées par les agresseurs évoluent constamment. En répondant aux recommandations de cet article, vous disposerez d'un système PBX plus sécurisé. | ||
'''Pour les utilisateurs de FreePBX''' | '''Pour les utilisateurs de FreePBX''' | ||
| - | Une vulnérabilité critique | + | Une vulnérabilité critique a été découverte qui peut affecter les versions de FreePBX entre 13.0.12 et 13.0.26. Un attaquant distant non authentifié peut exécuter des commandes shell en tant qu’utilisateur Asterisk de n’importe quelle machine FreePBX avec ‘Recordings’. Cela a été corrigé dans Recordings 13.0.27. |
| - | Vous pouvez en savoir plus sur cette vulnérabilité | + | Vous pouvez en savoir plus sur cette vulnérabilité, y compris comment y remédier, ici: http://wiki.freepbx.org/display/FOP/2016-08-09+CVE+Remote+Command+Execution+with+Privileged+Escalation |
[[category:guides]] | [[category:guides]] | ||
Latest revision as of 21:40, 6 November 2020
| Article in English | Artículo en Español |
|---|---|
| English |
Sur la base de la vision large que nous avons de milliers de clients, nous pensons que la plupart des cas de piratage dans le but de passer des appels indésirables peuvent être évités en suivant ces suggestions:
1) Utilisez des mots de passe forts: nous ne saurions trop insister sur celui-ci: utilisez des mots de passe forts! L'une des premières actions que de nombreuses personnes font après avoir installé leur PBX est souvent de créer une ligne téléphonique avec un mot de passe simple. Évitez d'utiliser des mots de passe d'extension courts ou faibles. N'oubliez pas d'utiliser des mots de passe d'au moins 8 caractères, y compris un mélange de majuscules et de minuscules avec des chiffres. N'oubliez pas de les changer périodiquement tous les 2-3 mois au maximum.
2) Internet public: évitez de laisser vos systèmes PBX, adaptateurs ATA et téléphones IP ouverts à Internet. N'utilisez pas le mode DMZ sur votre routeur et ne transférez pas de ports vers votre équipement, sauf si vous savez absolument ce que vous faites. Cela n'est nécessaire que dans des cas spécifiques et ne le laissez ouvert à Internet que si vous avez de l'expérience sur la façon de gérer correctement la sécurité sur un équipement ouvert à Internet.
3) Confirmez que les mots de passe administrateur et invité de la configuration de votre PBX ont été modifiés en quelque chose de fort, en vous assurant que vous ne pouvez pas accéder à votre appareil en utilisant les mots de passe par défaut qui apparaissent dans votre manuel (par exemple, admin). Il est très important que vous vous souveniez de ce nouveau mot de passe au cas où vous auriez besoin d'apporter d'autres modifications à votre configuration à l'avenir.
4) Asterisk Tweak: Si vous utilisez un PBX basé sur Asterisk, ajoutez la ligne suivante au fichier sip.conf sous la section [general] et lancez un rechargement
alwaysauthreject = yes
Ce que fait ce paramètre, c'est qu'il renverra toujours une erreur d'authentification au lieu d'un .404 introuvable:., Même si le poste interne n'existe pas. Cela augmente la difficulté des scanners de force brute lorsqu'ils attaquent votre PBX.
5) Trixbox, PBX dans un Flash et une autre interface Web basé sur PBX: Modifiez le mot de passe qui vient par défaut. Différentes versions d'installations PBX sont fournies avec des mots de passe d'administration par défaut. Assurez-vous de changer les mots de passe qui viennent par défaut immédiatement après votre installation et assurez-vous également que l'interface Web n'est pas accessible depuis Internet.
6) Plan de numérotation PBX: effectuez-vous des appels internationaux? Sinon, n'autorisez pas les appels internationaux à partir de votre PBX. Dans Asterisk, supprimez ._011.. Ou .00_. . Ne jamais utiliser ._... Si vous n'appelez régulièrement que quelques pays, activez ces pays uniquement. Par exemple: le seul pays que vous appelez est le Royaume-Uni? Configurez uniquement _01144. Dans votre plan de numérotation.
7) Soyez prudent lorsque vous voyagez: prévoyez-vous d'utiliser un logiciel dans un cybercafé aléatoire? Assurez-vous de supprimer vos informations de connexion après l'avoir utilisé et désinstallez le logiciel si possible.
8) Asterisk et Fail2ban: En tant qu'étape supplémentaire, vous pouvez installer un outil de sécurité supplémentaire tel que fail2ban, qui est un système gratuit de détection de force brute, il analyse les fichiers journaux de votre PBX puis prend des mesures en fonction des entrées de ces journaux. (http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk).
9) Faites en sorte que votre équipement PBX écoute un port différent de 5060/5061: Si votre PBX est ouvert à Internet, vous pouvez réduire considérablement les tentatives de scan / force brute en utilisant un port SIP différent pour les connexions entrantes.
10) Restrictions de compte: VoIP.ms offre de nouvelles options qui peuvent aider pour la sécurité, reportez-vous au Menu principal >> Paramètres du compte >> sélectionnez l'onglet "Restrictions de compte" (https://www.voip.ms/m/settings.php) . Ces paramètres définissent les restrictions que le système utilisera lorsque vous passez des appels vers USA48, Canada ou numéros internationaux. Il est fortement conseillé d'utiliser les restrictions par pays, cet outil vous aidera à éviter d'avoir des appels vers des pays que vous n'avez pas du tout l'intention de joindre.
Il existe diverses autres mesures que vous pouvez effectuer pour sécuriser votre équipement VoIP, mais cet article couvre certains des aspects les plus importants. La technologie et les méthodes utilisées par les agresseurs évoluent constamment. En répondant aux recommandations de cet article, vous disposerez d'un système PBX plus sécurisé.
Pour les utilisateurs de FreePBX
Une vulnérabilité critique a été découverte qui peut affecter les versions de FreePBX entre 13.0.12 et 13.0.26. Un attaquant distant non authentifié peut exécuter des commandes shell en tant qu’utilisateur Asterisk de n’importe quelle machine FreePBX avec ‘Recordings’. Cela a été corrigé dans Recordings 13.0.27. Vous pouvez en savoir plus sur cette vulnérabilité, y compris comment y remédier, ici: http://wiki.freepbx.org/display/FOP/2016-08-09+CVE+Remote+Command+Execution+with+Privileged+Escalation
