Mai come in questi ultimi anni gli attacchi informatici verso i centralini telefonici IP hanno generato non pochi problemi alle tasche dei clienti finali . Un sistema poco affidabile ed esposto verso “ll mondo intero”, se non protetto in maniera adeguata, può creare enormi problemi soprattutto nel caso di installazioni locali (On Premise). Installare un PBX IP per poi ignorarne l’esistenza, abbandonandolo al proprio destino, è la mossa peggiore e più rischiosa che che si possa commettere.
Gli attacchi vengono normalmente attuati da Spybot verso i sistemi IP che oltre a generare i sopracitati problemi rischiano di far degradare notevolmente le prestazioni della vostra connettività. Se l’occupazione di banda dovuta ai tentativi di attacco è trascurabile in ambito cloud, dove la connettività media si attesta sempre su almeno 100Mbit simmetrici, altrettanto non avviene per le installazioni on premise su linee XDSL sulle quali normalmente il valore di banda in upload è molto più limitato. Parlando di installazioni onpremise è sempre consigliabile, tutelare il consumo di banda in upload dai tentativi di attacco, implementando correttamente dei filtri a livello firewall.
Gli Spybot sono in continua evoluzione e insidiano Il vostro sistema con lo scopo di catturare e trasmettere password di sicurezza e autenticazione necessarie all’utilizzo fraudolento della vostra rete. A differenza di molti sistemi concorrenti, 3CX Phone system include delle misure di sicurezza Anti Hacking molto avanzate, ed in continua evoluzione, per prevenire e impedire le autenticazioni fraudolente e garantisce dunque la massima protezione anche quando il sistema è completamente esposto sul Cloud.
E’ scontato che il sistema PBX è sicuro solo se è opportunamente configurato e se è sistematicamente e tempestivamente aggiornato. Gli aggiornamenti servono proprio per anticipare e prevenire gli attacchi ai danni del PBX. Omettere gli aggiornamenti, non eseguire la manutenzione e non preoccuparsi delle protezioni firewall, ove richieste, comporta sempre rischi in materia di sicurezza. Questa considerazione vale per tutti i moderni sistemi tecnologici di telecomunicazione. Aggiornare un sistema come 3CX è un’operazione peraltro rapidissima che può persino essere completamente automatizzata. Come ulteriore tutela è persino possibile programmare un backup periodico automatico o eseguire un restore in pochissimi minuti.
Il Firewall è essenziale, in ambito VoIP, per bloccare il traffico di rete e le richieste di registrazione non autorizzate verso il proprio Centralino IP.
L’apparato è interposto tra la rete pubblica (WAN) e quella privata (Rete LAN) e agisce come filtro del traffico di rete proveniente dall’esterno. Esso autorizza il passaggio delle richieste solo alle sorgenti riconosciute e preventivamente autorizzate.
Il principio di funzionamento su una rete basata su TCP/IP è quello di indentificare univocamente ogni singolo indirizzo IP all’interno del quale vengono scambiati dei messaggi tramite una porta di comunicazione (es. http porta 80, ftp porta 21, ecc, porta SIP 5060, porte RTP 9000-9255) ed un protocollo predefinito.
Il riconoscimento avviene tra due entità distinte tra le quali vengono scambiati dei messaggi di sincronizzazione e validazione in un certo intervallo temporale. Se non sussistono queste condizioni, il Firewall blocca l’accesso scartando questo indirizzo. Il Firewall analizza infatti i pacchetti ricevuti e verifica all’interno del set di regole, inserite in fase di configurazione, se accettare o no la richiesta di connessione.
La modalità più utilizzata per la gestione del controllo della provenienza delle richieste in ambito VoIP è quella a blocchi o ACL (Access Control List):
Il sistema confronta le informazioni relative al protocollo IP con il set di configurazione e valuta se autorizzarne il passaggio. Viene autorizzata solo la connessione tra una sorgente (WAN) e un destinatario (IP LAN del PBX )riconosciuto. Il vantaggio di una configurazione di questo tipo è la velocità di gestione.
In questa modalità non viene però analizzato dal Firewall il contenuto dei pacchetti, ma solo la sorgente.
Una modalità invece più impegnativa ma con un livello di protezione maggiore è quella di ispezione di pacchetto. In questo caso oltre l’affidabilità della sorgente, il sistema provvede ad analizzare anche il contenuto dei pacchetti trasmessi tra i due end point verificando che sia stata effettivamente effettuata una richiesta di connessione.
A seconda della tipologia di Firewall utilizzato si potranno eseguire configurazioni più o meno complesse utilizzando dei filtri a livello di sorgente basati ad esempio sull’IP del VoIP provider, sulle aree geografiche di appartenenza degli indirizzi IP, sul numero di richieste effettuate e persino sulla marca di eventuali device remoti utilizzati.
Un’ultima considerazione: il firewall andrebbe sempre configurato ad opera di un sistemista specializzato in campo VoIP. Il sistemista, esperto in sicurezza dovrà infatti possedere la piena padronanza non sono a livello del prodotto firewall installato ma anche del protocollo SIP e dello specifico Centralino IP installato.
Dopo aver eseguito la configurazione il firewall dovrà sempre essere testato (con un penetration test) al fine di verificare che tutte le regole operino correttamente. Non è sufficiente collegare e configurare un firewall: occorre verificare che operi correttamente e garantisca il risultato pianificato !
Prossimamente analizzerò, in maniera più specifica, il problema delle frodi in ambito VoIP. Evidenzierò quelli che sono gli errori più comuni che rendono vulnerabile un Centralino VoIP, suggerendo i requisiti fondamentali per la messa in sicurezza di un generico VoIP PBX.
Sistema Telefonico 
