Sécurité PBX

From VoIP.ms Wiki

Revision as of 19:25, 31 October 2019

Basé sur l'opinion générale que nous avons de milliers de clients, nous pensons que la plupart des cas de piratage informatique destinés à passer des appels non désirés peuvent être évités en suivant ces suggestions:

1) Utilisez des mots de passe forts: Nous ne saurions trop insister sur celui-ci: Utilisez des mots de passe forts! L'une des premières actions de nombreuses personnes après l'installation de leur système PBX consiste souvent à créer une extension de téléphone avec un mot de passe simple. Évitez d'utiliser des mots de passe d'extension courts ou faibles. N'oubliez pas d'utiliser des mots de passe d'au moins 8 caractères, comprenant à la fois des majuscules et des minuscules, ainsi que des chiffres. N'oubliez pas de les changer périodiquement tous les 2-3 mois au plus.

2) Internet public: évitez de laisser vos systèmes PBX, adaptateurs ATA et téléphones IP ouverts à Internet. N'utilisez pas le mode DMZ sur votre routeur et ne transférez pas de ports vers votre équipement, à moins que vous ne sachiez absolument ce que vous faites. Cela n'est nécessaire que dans des cas spécifiques et ne le laissez ouvert à Internet que si vous êtes familiarisé avec la gestion appropriée de la sécurité sur des équipements ouverts à Internet.

3) Vérifiez que les mots de passe administrateur et invité de la configuration de votre PBX ont été remplacés par des mots plus forts, en vous assurant que vous ne pourrez pas accéder à votre appareil en utilisant les mots de passe par défaut qui apparaissent dans votre manuel (par exemple, admin). Il est très important que vous vous souveniez de ce nouveau mot de passe au cas où vous auriez besoin d'apporter d'autres modifications à votre configuration à l'avenir.

4) Asterisk Tweak: Si vous utilisez un PBX basé sur Asterisk, ajoutez la ligne suivante au fichier sip.conf dans la section [general] et lancez un rechargement.

alwaysauthreject = yes 

Ce paramètre fait en sorte qu'il renverra toujours une erreur d'authentification au lieu d'un .404 non trouvé:, Même lorsque l'extension n'existe pas. Ceci augmente la difficulté des scanneurs à force brute lorsqu'ils attaquent votre autocommutateur privé.

5) Trixbox, PBX-In-a-Flash et autre: changez le mot de passe par défaut. Différents types d'installations PBX sont fournis avec des mots de passe d'administration par défaut. Assurez-vous de changer les mots de passe par défaut immédiatement après votre installation et assurez-vous également que l'interface Web n'est pas accessible depuis Internet.

6) Plan de numérotation PBX: Faites-vous des appels internationaux? Sinon, n'autorisez pas les appels internationaux depuis votre PBX. Dans Asterisk, supprimez ._011.. ou .00_.. N'utilisez jamais ._... Si vous n'appelez que quelques pays régulièrement, activez-les uniquement. Par exemple: le seul pays que vous appelez est le Royaume-Uni? Configurez uniquement _01144. Dans votre plan de numérotation.

7) Faites preuve de plus de prudence lorsque vous voyagez: prévoyez-vous d'utiliser un téléphone logiciel dans un cybercafé par hasard? Assurez-vous de supprimer vos informations de connexion après l’avoir utilisé et de désinstaller le logiciel si possible.

8) Asterisk et Fail2ban: vous pouvez également installer un outil de sécurité supplémentaire, tel que fail2ban, un système de détection de force brute gratuit, qui analyse les fichiers journaux de votre PBX, puis prend des mesures en fonction des entrées de ces journaux. (http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk) Nous proposons également le service optionnel d’installation de fail2ban dans votre PBX Asterisk. Un professionnel Linux qualifié Asterisk peut l’installer sur votre système moyennant des frais uniques de 150 USD.

9) Si votre équipement PBX utilise un port différent de celui de 5060/5061: si votre PBX est ouvert à Internet, vous pouvez réduire considérablement les tentatives de numérisation/force brute en utilisant un port SIP différent pour les connexions entrantes.

10) Restrictions de compte: VoIP.ms offre de nouvelles options pouvant aider à la sécurité. Reportez-vous à Menu principal >> Paramètres du compte >> sélectionnez l'onglet “Restrictions de compte” (https://www.voip.ms/m/settings.php). Ces paramètres définissent les restrictions que le système utilisera lorsque vous passez des appels vers USA48, le Canada ou des numéros internationaux. Il est fortement recommandé d’utiliser les restrictions par pays. Cet outil vous aidera à ne pas effectuer d’appels vers des pays que vous n’avez pas l’intention de joindre.

There are various other measures that you can perform to secure your VoIP equipment, however this article covers some of the most important aspects. The technology and the methods used by abusers keep evolving constantly. By meeting the recommendations on this article you will have a more secure PBX system.

Pour les utilisateurs de FreePBX

Une vulnérabilité critique pouvant affecter les versions de FreePBX comprises entre 13.0.12 et 13.0.26 a été découverte. Un attaquant distant non authentifié peut exécuter des commandes du shell en tant qu’utilisateur Asterisk de n’importe quel ordinateur FreePBX avec ‘Recordings’. Cette erreur a été corrigée dans Recordings 13.0.27. Vous pouvez en savoir plus sur cette vulnérabilité et sur la façon de la résoudre ici: http://wiki.freepbx.org/display/FOP/2016-08-09+CVE+Remote+Command+Execution+with+Privileged+Escalation