3CX 安全设置指南：什么是全球 IP 黑名单及其运作原理？

3CX 全球 IP 黑名单：开启“默认安全”防御模式

发布于2022年2月25日, 作者: Leon Chen

转译自：Pierre Jourdan（3CX 应用安全与互操作性经理）

产品的安全性对我们而言至关重要。这就是为什么在每个版本中，我们都致力于改进系统的核心要素，同时对全球新出现的威胁保持高度警惕。3CX 全球 IP 黑名单是打击黑客行为的关键工具。那么，它究竟是什么，又是如何运作的呢？

3CX 全球 IP 黑名单最初随 V16 发布。它是一个中央数据库，记录了被一个或多个被 3CX 系统列入黑名单的 IP 地址。每一个参与“3CX 全球反黑客防御计划”的实例，都是全球 IP-PBX 服务器社区的一部分，共同致力于将黑客阻挡在关键系统之外。

第一步： 新安装的系统默认开启黑名单功能。每个启用了该选项的 3CX 系统每隔 6 小时就会将我们集中管理的黑名单导入其本地黑名单。
第二步： 实例还会将本地触发的每个新黑名单事件上报并添加到全局黑名单中。这主要是由于通过 SIP 或 Web 访问反复进行身份验证失败造成的。
第三步： 这是该服务最重要且最巧妙的功能。3CX 安全团队会监控每个上报的新违规 IP 地址。我们可以识别攻击模式，并由人工决定是否在全球范围内封锁该地址。我们没有完全自动化这个过程是有原因的：为了确保合法的 VoIP 服务器或运营商不被误封，我们的安全团队在将 IP 地址添加到黑名单之前会进行多次人工检查。
第四步： 大多数时候我们还会联系受损服务器的管理员，告知其机器正在参与黑客攻击。通过这种方式，他们可以加固自己的机器，从而减缓攻击或扫描。

截至本文撰写之日，全球列表已增长到包含约 400,000 个 IP 地址。在这些地址中，典型的案例是 VPN 和代理服务器，黑客利用它们发起自动化的 SIP 扫描和暴力破解攻击。

该列表还包括许多被用作僵尸网络分布式扫描一部分的受损机器。我们经常看到像未修复补丁的邮件服务器、网络设备和视频监控服务器被以这种方式利用。

任何启用了“某个 IP 已被列入黑名单”邮件警报的 3CX 管理员都会知道，如果禁用了全球黑名单，由于事件数量巨大，那些邮件警报将变得难以管理。

一旦 SIP 服务使用默认的 5060 端口部署上线，它几乎会立即受到攻击。我们之前提到的 SIP 扫描旨在寻找配置了弱凭据的服务器或终端。启用全球 IP 黑名单意味着绝大部分此类流量会被立即丢弃。

此外，任何接收 IP 黑名单邮件警报的管理员都能享受到一个清静的工作日。

请关注我们即将发布的一系列博文，其中将涵盖更多关于黑客模式的统计数据和细节。我们将介绍我们所见到的具体情况，以及您如何进一步保护您的 3CX 网络。

作者 Leon Chen|2022年2月25日|已关闭评论