转译自:Pierre Jourdan,3CX 应用安全与互操作性经理

继上次关于电话诈骗的讨论之后,现在是我们的博客系列 “远离电话诈骗与盗打” 的又一期内容。在这第三个版本中,我们总结了四大 PBX 安全技巧,旨在帮助您缩小受攻击面并最大限度地减少系统漏洞。

安全技巧 1:保持启用全球 IP 黑名单

自动下载全球黑名单

3CX 全球黑名单是一项在所有 3CX 安装中默认自动启用的功能。它会拦截大量已知的违规 IP 地址和范围,保护您免受恶意攻击。

这里的主要隐患是那些禁用了该功能的安装。请确保勾选此选项。当该功能停用时,您的事件日志将记录下大量黑名单事件,以及来自虚假 SIP 用户代理(如 Polycom VVX、Asterisk、Avaya 等)的失败身份验证尝试。事实上,您在此目睹的是大量扫描机器人正在努力对您的 SIP 分机进行暴力破解。

这些攻击可能发生在 VPN 和受损主机之后,甚至来自合法服务提供商的服务器和设备。当这些设备被篡改时,它们看起来像是配置错误,并充当开放的 SIP 中继。结果,攻击者可以躲在第三方服务后面,向您的系统弹射 REGISTER 注册消息。

安全技巧 2:确保限制端口访问

其次,所有开放端口均不加过滤简直是在自寻烦恼。例如,SIP 5060 (UDP/TCP) 端口应仅限于受信任的用户终端列表以及特定于您的 VoIP 提供商的 IP 范围。此外,我们还见过以下几种多发情况:

电话 Web UI 暴露

有些 IP 话机的用户界面暴露在外部访问中。通常,这是管理员为了允许通过 WAN 访问 HTTP/HTTPS 端口以进行远程操作而开启的。这应该是绝对禁止的行为。如果出现以下情况,将用户界面端口向外部开放会带来多重风险:

  • 厂商固件未保持最新

  • 密码被修改为弱密码

  • 特定型号/版本的零日漏洞被发现并利用

  • 暴露的设备被 Shodan 等工具搜索到

这些用户终端应保持在 NAT 之后,不能从外部世界直接访问。如果需要,您可以在一台工作站上设置临时远程管理工具,并从那里跳转到本地终端。

SSH 未经过滤

保持 Linux 默认的 SSH 端口 (TCP 22) 不经过滤也会导致持续的暴力破解攻击。这可以从机器的 Syslog auth.log 文件中轻松看出,由于来自许多公网 IP 的多次登录尝试失败,该文件会不断增大。

保持 3CX 服务器独立

在与 3CX 相同的服务器或系统中安装第三方工具会增加您的受攻击面。它们可能会创建额外的 Web 服务器和额外的服务,这些服务监听新端口,进而暴露给外部攻击。

核心结论是:您应该通过适当的 ACL/防火墙规则进行尽可能严格的过滤。

安全技巧 3:为您的备份设置密码保护

为您的备份设置密码保护

第三,备份应该受密码保护,因为过去我们曾见过备份文件泄露的案例。如果这些备份经过加密,它们对黑客来说将毫无用处。这就是为什么在所有安装中采用加密是一个好习惯,并为每个安装设置不同的密码。

此外,为所有安装使用一个共同的备份存储库并不是一个好主意。如果该存储库被攻破,那么您可能会面临多个系统同时被黑的风险。还有弹性问题:如果这个公共备份存储驱动器发生故障怎么办?俗话说得好,鸡蛋不应该放在同一个篮子里。

安全技巧 4:锁定管理控制台

最后,您听过管理控制台限制部分吗?它允许您定义哪些公网 IP 地址将被允许以管理员权限登录。其他任何人,即使拥有正确的凭据,也只能获得基础用户级别的访问权限。

如果我收到来自 EDR/杀毒软件的安全警报该怎么办?

请向您的杀毒软件供应商报告该问题,并在获得其《杀毒软件供应商报告》后,通过提交此联系表单并选择“安全与数据保护”选项与我们分享。 如果您有 3CX 合作伙伴,请立即向他们报告任何安全报告/警报。

我们期待收到您对这一话题的评论!