Un Mese Senza Frodi!
Quando ho cominciato a fornire soluzioni VoIP nel 2005 non era per niente facile.
Gli IP-PBX, i Gateways, i Router non avevano ancora raggiunto un buon livello di affidabilità; le adsl, diciamolo tranquillamente, facevano schifo: perdevano pacchetti, avevano una latenza eccessiva, e la voce su IP, tecnologia veramente sensibile a questi fattori, ne risentiva fortemente in termini di qualità.
Come se non bastasse a volte ci si mettevano anche i Provider VoIP (noi compresi) a fare danni e a creare una brutta fama nei confronti del VoIP.
A quel tempo quello che rischiavi maggiormente era che il cliente disdiceva il contratto e rimandava agli installatori gli impianti senza pagarli.
Oggi il VoIP è diventato una bella soluzione. Gli apparati e gli IP-PBX, come il 3CX, sono diventati dei prodotti innovativi e affidabili. Le adsl sono più performanti e anche noi Provider abbiamo migliorato tantissimo la qualità. Il nuovo sistema di comunicare sta mandando in pensione il vecchio modo e la qualità risulta ottima. In alcuni casi superiore. Inoltre il VoIP si vende abbastanza bene perché è un investimento che in poco tempo si riprende da solo.
Sarebbe il paradiso se non fosse che da un anno a questa parte circa si è affacciato un nuovo pericolo per i pionieri del VoIP: le frodi!
Le Frodi sono fenomeno che prima era quasi sconosciuto. Da un anno a questa parte gli attacchi verso i sistemi VoIP sono invece diventati all’ordine del giorno. Il Voip non è un servizio di telecomunicazioni ma un servizio informatico e come tale va trattato. Io sono solo un commerciale e non parlo il tecnicese ma quello che succede in soldoni è che, gente sconosciuta, si autentifica su un interno del centralino e comincia a fare telefonate in Somalia, Lettonia e nelle isole più sperdute dell’Oceania di cui nemmeno conosciamo l’esistenza a delle tariffe veramente elevate. È difficile, anzi impossibile, individuare i responsabili di questi attacchi: Romania, Ucraina, Polonia (o per lo meno gli indirizzi Ip ai quali arriviamo noi sono di quei paesi ma chissà che non ci siano degli ulteriori redirect). Anche la Polizia Postale getta la spugna su questi casi. Che fai una rogatoria internazionale per 600 €?
Anzi la prima volta che ci è successo ci siamo fatti male davvero: hanno frodato al cliente oltre 20.000 €. Da allora abbiamo messo tutta una serie di controlli in centrale: ogni venti minuti verifichiamo il traffico estero, controlliamo se il medesimo account chiama più volte lo stesso numero internazionale e se si supera una soglia di poco più di 100 €. In più abbiamo messo tutta una serie di limitazioni notturne così se avvengono delle anomalie blocchiamo subito l’account e avvisiamo il cliente e il suo installatore.
Dopo l’intervento degli avvocati anche la famosa frode di 20.000 € ci è stata corrisposta perché secondo la legge italiana l’unico responsabile del traffico effettuato è solo il cliente finale che non ha messo in pratica tutte le politiche di sicurezza per proteggere i suoi sistemi. Stesso discorso della legge sulla Privacy. Però una volta che sono entrati i “ladri in casa” chi ne va di mezzo non sono i ladri (che qualche leggenda metropolitana vuole siano quelli che organizzano il traffico estero dei phone – center extracomunitari) ma tutti quanti noi: il cliente, che subisce il danno economico, il rivenditore/installatore, che o perde il cliente o lo risarcisce sottoforma di interventi gratuiti, o noi stessi che ci vediamo pagare con molto ritardo o che rischiamo, anche noi, di perdere e cliente e rivenditore.
Oggi è un mese che non subiamo frodi.
Un fatto da festeggiare visto che non accadeva da oltre un anno.
Siamo contenti perché questo vuol dire che i nostri installatori hanno operato bene. Hanno messo in campo le best practices che servono per impedire queste frodi: password difficili, creare una vpn con la nostra centrale (i miei tecnici mi suggeriscono: “apertura porte udp 5060 e dalla 9000 alla 9049 SOLO (obbligatorio) da voip.voipvoice.it (o indirizzo IP 62.149.202.150)”), porre particolare attenzione agli interni remoti che non hanno IP statico da proteggere.
Credo che però la miglior soluzione sia seguire le linee guida che la casa madre (come la 3CX) indica per poter essere il più tranquilli possibili.
Così che si possa finalmente tornare a installare il Voip in tutta tranquillità.
E’ vero, è il maggiore problema legato a chi si occupa di comunicazioni Voip ed è la principale causa di malfunzionamenti sui PBX Voip. Troppo spesso queste considerazioni vengono messe in secondo piano per l’inesperienza o per la riduzione dei costi legati alle misure di sicurezza.
E’ anche vero che dotarsi oggi di un firewall in grado di mettere ragionevolmente al sicuro tutta l’infrastruttura aziendale non comporta più costi insostenibili.
Inoltre a beneficiarne non è il solo centralino IP ma tutta l’infrastruttura aziendale.
Quello che suggeriamo è di affidarsi a tecnici e società di forniture di servizi seri che conoscano realmente i problemi della sicurezza incluse le implicazioni in ambito Voip SIP.
Noi abbiamo sempre affrontato con largo anticipo questo genere di problemi con i nostri clienti con la fortuna ed il risultato di non essere mai incappati, direttamente o indirettamente in questi tentivi fraudolenti. Ci siamo organizzati per fornire soluzioni di sicurezza adatte all’impiego in ambito Voip per ogni tipo di realtà aziendale e di budget disponibile.
L’aspetto più importante, credo, è quello di essere continuamente al passo con i tempi e di prevenire fenomeni come quello descritto anche collaborando con i fornitori di connettività e di servizi.
Ciao.
Sono un consulente indipendente di enti pubblici (per lo più scuole) e clienti privati.
Anche una mia installazione – un anno fa – fu vittima di un feroce attacco di quelli che hai descritto.
Me ne accorsi solo quattor giorni dopo e c’earno oltre 800 chiamate di 3 minuti verso destinazioni etiopi, somale, egiziane, ecc…
Il trunk attaccato era quello PSTN su linea Telecom.
Analizzando cosa era successo, venne fuori che erano stati individuate le password degli interni e poichè c’erano extensions remote, sul firewall erano aperte le porte SIP (5060) ed RTP (10000-20000).
Fortunatamente non ci fu danno economico poichè dal 2008 esiste una legge (grazie a Dio …) che – proprio per tutelare gli utenti dalle frodi informatiche – blocca automaticamente le chiamate che superano una determinata soglia di costo (circa 30 eurocents/sec).
In seguito al pericolo corso ho fatto un “corso accelarato” sulla sicurezza VoIP stabilendo delle “linee guida” che fino ad ora sembrano reggere bene:
1) usare password complesse per tutto (root,maint, extensions, ecc…)
2) aprire solo la connessione SSH in ingresso ai server (nel mio caso Trixbox/Asterisk) utilizzando Putty + tunnel + firefox per la gestione
3) limitare le outbound routes solo alle direttrici effettivamente necessarie (nel mio caso solo quelle nazionali)
4) usare Iptables per consentire la connessione SSH da un dato indirizzo IP statico (il mio) e, se ci sono remote phones, solo le conessioni SIP e RTP dagli IP statici delle reti ove sono collocati
5)usare fail2ban per “bannare” qualunque tentativo di intrusioni.
E’ più di un anno che vado avanti così senza problemi.
Spero che il mio contributo sia utile a chi si affaccia al mondo del VoIP per evitare di passare notti insoni come è capitato a me.
A presto..
ma ci dite con messagenet come si configurano che non funziona nemmeno a calci ?? tutte chiacchere e distintivo !!
Ci sono diversi post nei forum Italiani che stanno sfruttando “Messagenet”: http://www.3cx.com/forums/italiano-12/
Chiedi aiuto li – qualche punto di riferimento dovresti ottenerlo…
Salve, solo una curiosità: Qualcuno ha episodi con scenari di questo tipo?:
- Firewall ( serio, io uso endian ) davanti a tutto
- porte aperte secondo le linee guida
- password complesse ( nel mio caso, oltre 48 caratteri alfanumerici, numeri simboli.. )
- telefono configurato dietro NAT
- verifiche periodiche ai log
- patch 3cx sempre installate e aggiornate
- antivirus sul sistema server che ospita 3cx
Ho notato che, il mio firewall blocca migliaia di attacchi continui e costanti, e per ora ( 3 anni ) tutto fila liscio.
Datemi feedback …