Nella Prima Parte dell’articolo abbiamo elencato i principali tipi di minacce nell’ambito dei sistemi VoIP PBX, Nella Seconda Parte abbiamo analizzato le minacce Spoofing e Sniffing e le misure anti hacking utilizzate dai centralini IP e dai sistemi di comunicazione unificata. In questa terza parte ci soffermeremo sugli ulteriori strumenti di sicurezza utilizzabili per proteggere le reti VoIP.

Utilizzo di Firewall ed SBC

Per loro natura, le piattaforme VoIP coinvolgono molti ambiti dell’infrastruttura IT aziendale e li fanno convergere in un sistema di comunicazione unificata. Se questo porta ad ovvi vantaggi, significa anche avere un maggior numero di potenziali punti di accesso come bersaglio di attacchi informatici. Oltre ai sistemi anti hacking propri di un centralino VoIP può essere necessario o raccomandabile, a seconda del tipo di infrastruttura, l’utilizzo di misure ulteriori di sicurezza. Ciò è consigliato soprattutto nel caso di installazioni locali del PBX quando si desidera che la presenza del PBX non possa essere identificata dai potenziali malintenzionati. Anche l’utilizzo di interni o sedi aziendali remote può rendere consigliabile l’installazione di un firewall o di un SBC (Session Border Controller) come misura di sicurezza addizionale.

Utilizzare un Firewall a protezione delle porte SIP TCP/UDP

A seconda del tipo di centralino IP utilizzato ed in dipendenza di fattori quali l’utilizzo di SIP Trunks, interni remoti, Peer Trunks con altri PBX, potrebbe essere necessaria la configurazione dell’apparato router/firewall in uso con regole statiche di NAT.
Una configurazione di questo tipo rende ovviamente le porte dedicate alla negoziazione SIP esposte ad eventuali tentativi di attacco.
Se in genere gli attacchi più comuni possono tranquillamente essere fronteggiati con un prodotto PBX aggiornato e di qualità, vanno tuttavia considerate alcune circostanze in cui è raccomandabile l’uso di un firewall o di un SBC. I criminali informatici istruiscono in genere dei software automatizzati (c.d. Bots) per identificare la presenza degli IP-PBX presenti sulla rete internet. L’attacco si sviluppa normalmente secondo queste fasi:

  • Scansione delle Porte e dei Servizi: I Bots effettuano una scansione delle porte di rete aperte per un determinato blocco di indirizzi IP Pubblici. Viene identificata la presenza di eventuali PBX in base al tipo di risposta. La modifica della porta standard di ascolto (es. 5060) può solo servire a ritardare un eventuale attacco ma non rappresenta una misura di sicurezza sufficiente.
  • Mappatura delle Porte: Gli indirizzi IP, le Porte SIP utilizzate dal PBX vengono mappate ed inserite in una lista globale. Anche il Tipo di PBX viene in genere identificato.
  • Attacchi VoIP: Gli indirizzi mappati vengono comunicati a diversi server sparsi per il mondo che procedono ripetutamente ad attacchi sfruttando le eventuali vulnerabilità identificate. A seconda della complessità, l’attacco può protrarsi per settimane modificando periodicamente l’indirizzo IP di origine e proseguendo quindi anche oltre una eventuale protezione di Blacklist adottata dal centralino. I Centralini più vulnerabili sono quelli non aggiornati, mal configurati o basati su codici opensource obsoleti.

E’ evidente che per tutta la durata di un attacco vi sarà un’occupazione di banda dati sulla connessione internet. Questa riduzione della banda, se normalmente non rappresenta una criticità per gli hosting provider, può costituire un problema rilevante nel caso in cui il PBX utilizzi una normale connessione xDSL. Nel caso delle tradizionali linee ADSL standard,  con valori di upload limitati, un attacco può tradursi in un degrado della qualità della chiamata. Nel caso in cui il PBX non sia inoltre dotato di misure anti hacking è possibile che la chiamata risulti impossibile per completa mancanza di banda dati disponibile.

I centralini di tipo legacy, al contrario dei prodotti basati su software come 3CX Phone System, sono in genere più vulnerabili nei confronti di questo tipo di attacchi. Questo perché un prodotto software è più facilmente e tempestivamente aggiornabile per fronteggiare eventuali nuove minacce. La differenza tra i vari prodotti software risiede proprio nella capacità di rilasciare tempestivamente eventuali aggiornamenti critici e di renderli disponibili ai clienti con una semplice e rapida operazione di aggiornamento.

Quali misure di protezione è possibile adottare a livello Firewall / SBC?

Per evitare le criticità appena viste è possibile ricorrere all’impiego di apparati Firewall o Session Border Controller. Grazie ad essi è possibile applicare delle restrizioni sulle Porte, sui servizi e sugli Indirizzi utilizzati dal vostro centralino IP. La protezione può essere attivata su più livelli a seconda dell’ambito di utilizzo e delle necessità  di collegamento. I Session Border Controller possono agire come Firewall effettuando inoltre ulteriori controlli specifici sul traffico VoIP. In questo modo i potenziali criminali, non potranno rilevare la presenza del centralino IP e nemmeno indirizzare un attacco in quanto la comunicazione verrà inibita a priori.

  • Nel caso in cui la comunicazione del PBX avvenga solo verso Provider VoIP è possibile adottare delle liste di controllo Accesso (ACL) per permettere la comunicazione del centralino unicamente da/verso gli indirizzi IP statici o le subnet utilizzate dal provider VoIP. La stessa operazione di protezione a mezzo di ACL andrebbe effettuata per tutti gli IP statici coinvolti nel traffico SIP quali le sedi utilizzate per connettere interni remoti oppure i Peer di collegamento verso altri PBX aziendali. Nel caso di sedi remote è inoltre sempre raccomandabile introdurre ulteriori misure di protezione contro lo Sniffing quali le implementazioni TLS e SRTP oppure la cifratura completa dei dati attraverso l’uso di una connessione VPN.
  • Nel caso in cui gli interni remoti vengano utilizzati con apparati mobili quali smartphone, tablet o laptop, vi saranno ulteriori fattori da considerare. Nella maggioranza dei casi saranno convolti nella comunicazione con il centralino IP indirizzi IP di tipo dinamico e sarà quindi necessario utilizzare regole di tipo diverso a protezione del firewall. A seconda dellla tipologia e classe di firewall utilizzato sarà possibile impiegare una delle seguenti misure:
    1) Applicazione di Liste di Accesso (ACL) geografiche per escludere le zone principali di provenienza degli attacchi. I Firewall più modermi includono già filtri IP suddivisi per nazione.
    2) Applicazione combinata di regole ACL per gli indirizzi IP Statici e regole di riconoscimento specifiche per gli apparati mobili. Alcuni apparati firewall più recenti sono in grado di identificare gli apparati mobili connessi combinando il codice del produttore con l’indirizzo MAC ad esso associato.
    3) Utilizzo di accessi VPN dedicati per i lavoratori mobili oppure utilizzo di Tunnel di collegamento proprietari del produttore come ulteriore misura di prevenzione.

Per garantire l’efficacia nel campo della sicurezza specifica per le reti VoIP, le aziende dovrebbero lavorare con un produttore ed un professionista certificato che sia in grado di assicurare le soluzioni più adatte alla propria rete specifica.