Blacklist globale degli IP del 3CX: Sicurezza di default

Posted on February 24th, 2022 by Stefano Todero, Marketing Manager - Italy, 3CX

La sicurezza dei nostri prodotti è di fondamentale importanza per noi. Ecco perché dopo ogni rilascio, ci sforziamo sempre di migliorare gli elementi fondamentali del sistema, pur rimanendo vigili verso le nuove minacce globali. La blacklist IP globale del 3CX è uno strumento chiave nella lotta contro l’hacking. Ma cos’è e come funziona?

La blacklist globale degli IP spiegata

La blacklist globale IP del 3CX è stata rilasciata per la prima volta con la versione 16. E’ un database centrale di indirizzi IP che sono stati messi nella blacklist da uno o molti sistemi 3CX. Ogni istanza che prende parte al programma di difesa globale anti-hacking del 3CX è parte di una comunità mondiale di server IP-PBX, tutti contribuiscono a mantenere gli hackers fuori dai sistemi critici.

Come funziona il programma di difesa globale anti-hacking?

Passo 1

Le nuove installazioni hanno la blacklist abilitata di default. Ogni sistema 3CX che ha l’opzione abilitata importa la nostra lista gestita centralmente nella sua blacklist locale ogni 6 ore.

Passo 2

Anche le istanze riportano e contribuiscono alla lista globale pubblicando ogni nuovo evento di blacklisting che viene attivato localmente. Questo è principalmente dovuto a ripetute autenticazioni fallite su SIP o accesso web.

Passo 3

Questa è la caratteristica più importante del servizio. I team di sicurezza 3CX monitorano ogni nuovo indirizzo IP offensivo segnalato. Possiamo identificare i modelli di attacco, e decidere se bloccare l’indirizzo globalmente. Non abbiamo automatizzato completamente questo processo per una ragione. Per assicurare che i server VoIP legittimi o i carrier non vengano bloccati, i nostri team di sicurezza effettuano diversi controlli manuali prima di aggiungere l’indirizzo IP alla blacklist.

Passo 4

A volte, contattiamo gli amministratori dei server compromessi per renderli consapevoli che le loro macchine sono sotto attacco di hacking. In questo modo, possono mettere in sicurezza la loro macchina per rallentare l’attacco o la scansione.

Quanto è efficace?

Al momento in cui scriviamo, la lista globale è cresciuta fino a includere circa 400.000 indirizzi IP. Di questi indirizzi, il tipico caso d’uso sono i server VPN e proxy, dietro i quali gli hacker lanciano scansioni SIP automatizzate e campagne.

La lista include anche molte macchine compromesse che vengono utilizzate come parte di scansioni distribuite da botnet. Vediamo regolarmente modelli di macchine come server di posta senza patch, apparecchi di rete e server di videosorveglianza utilizzati in questo modo.

Qualsiasi amministratore del 3CX che ha abilitato gli avvisi email per “L’IP è stato inserito nella blacklist” saprà che se la blacklist globale è disabilitata, questi avvisi email diventeranno ingestibili a causa dell’alto volume di eventi.

Perché attivarlo?

Non appena un servizio SIP viene distribuito online utilizzando la porta predefinita 5060, sarà soggetto ad un attacco quasi immediato. La scansione SIP, di cui abbiamo parlato in precedenza, è costruita per cercare server o endpoint configurati con credenziali deboli. Avere la blacklist globale degli IP abilitata significa che una gran parte di questo traffico viene eliminato immediatamente.

Esempi del mondo reale

Tenete gli occhi aperti per una serie di prossimi blog post che copriranno più statistiche e dettagli sui modelli di hacking. Copriremo alcuni dettagli su ciò che abbiamo visto e come è possibile proteggere ulteriormente la vostra rete 3CX.