2021 年,电信欺诈损失达 1.8 万亿美元,其中 PBX 和 VoIP 欺诈位居榜首。当威胁变得不可预测时,安全是关键。VoIP 黑客和攻击可能来自 Internet 或电话线路,旨在利用任何漏洞并最终使您的组织面临收费欺诈和机密信息盗窃的风险。
那么如何保护对业务至关重要的 PBX 系统免受潜在的网络威胁和内部渎职?
6 种常见的 VoIP 漏洞和攻击
为避免 VoIP PBX 电话系统出现安全漏洞,了解潜在漏洞和常见的网络攻击类型非常重要。
潜在的 PBX 安全漏洞
用户名和密码薄弱或被盗
后门和应用程序漏洞
访问控制不佳
未加密的连接
人为错误导致的数据泄露
常见的网络攻击类型和 VoIP 安全措施
- 收费欺诈
攻击行动:从您的 VoIP 网络拨打国际电话,费用由您承担。
攻击目的:产生大量国际电话至收费电话号码,然后收取收入。
- 侦察
攻击行动:在发动实际攻击之前收集有关目标的所有可能信息。
攻击目的:识别漏洞和弱点,然后创建成功的漏洞利用。
- 拒绝服务 (DoS)
攻击行动:用大量请求淹没服务器并耗尽其所有带宽。
攻击目的:阻止用户访问连接的在线服务或站点。
- 欺骗
攻击行动:冒充受害者信任的个人或公司。
攻击目的:获取个人信息或窃取数据。
- 中间人
攻击行动:窃听两个目标之间的通信。
攻击目的:窃取敏感数据,例如登录凭据、帐户详细信息和信用卡号。
- 网络电话垃圾邮件 (SPIT)
行动:通过 VoIP 向连接到 Internet 的电话发送大量和不请自来的机器人呼叫和语音邮件。
目的:诱骗受害者接听或收听自动电话,收取高额国际电话费。
如何保护您的 VoIP 电话系统
网络攻击的复杂性和种类不断增加,不同类型的攻击针对不同的恶意目的。虽然每种攻击的对策不同,但良好的安全策略有助于降低风险。在许多情况下,保护 PBX 电话系统的最佳方式是实施多层安全解决方案。这意味着您需要部署多种防御措施来保护电话系统的脆弱点。每一层都增加了整体保护并继续提供系统防御,即使其中一层被破坏。
以下是可以执行的一些最佳实践,为您的 VoIP 电话系统构建多层保护。
- 保持更新您的 PBX 和 SIP 端点
最新的固件或软件版本就像保护罩一样保护您的 PBX 或 SIP 终端免受安全威胁。通常,最新版本通常是最安全的,因为会发现并修复错误和其他漏洞。此外,随着技术的不断发展,一些关键的安全功能或保护层仅在最新版本上得到支持。
- 防御网络安全威胁
您组织的网络是抵御网络犯罪的第一道防线。如果黑客获得了对您组织支持 VoIP 通信的网络的访问权限,则可能导致拒绝服务 (DoS) 攻击或服务质量 (QoS) 显著下降。为防止这种情况发生,您需要避免将 PBX 的内网暴露给公众,并阻止未经授权的访问。
最佳实践 1 避免端口转发
为了尝试为远程和移动用户提供远程访问,大多数本地 PBX 提供商将推荐端口转发。但这根本不是一个好主意。
本质上,端口转发将公共 IP 地址上的外部端口映射到私有局域网 (LAN) 内的 PBX。这会将您的 PBX 暴露在 Internet 上并带来潜在风险,因为黑客可能会通过转发端口渗透您的网络。事实上,通过端口转发进行黑客攻击一直是黑客发起攻击的最常见方式。
您将需要一种更安全的方法来维护所需功能的远程访问,同时避免使用暴露 LAN 的端口转发。
为了解决这个难题,您可以利用SparkleComm VoIP电话服务。SparkleCommVoIP电话系统服务采用工业级云和加密技术,为 PBX 的远程 SIP 访问和业务通信创造了一种更安全的方式。它不仅避免了 PBX 端口转发,而且通过精细的权限控制来双重保护系统。您可以决定允许哪些 IP 地址和分机帐户通过该服务远程访问您的 PBX,以及允许哪些 PBX 服务进行远程访问。
最佳实践 2 阻止未经授权访问您的 PBX
阻止对您的 PBX 的不必要和未经授权的访问可以显著降低您的系统被黑客入侵的可能性。这是防止电话窃听和减轻对您的业务造成的潜在损害和财务损失的重要步骤。
(1)、限制对 PBX 管理员门户的访问
SparkleComm PBX系统预配置了 3 种基于角色的帐户:超级管理员、管理员和自定义用户。每个角色都已包含相应的管理权限。您还可以创建具有特定管理权限的自定义角色以满足用户需求。只有具有管理权限的用户才能访问管理员门户以配置授予其角色的系统功能。
在实施基于角色的访问控制时,您只向用户角色授予必要的权限,并确保将角色授予正确的个人,从而规范安全权限控制的人员和内容。
(2)、限制来自特定国家或地区的系统访问
如果您发现来自特定国家或地区对您的 PBX 的攻击有所增加,您可以使用地理限制(也称为地理封锁)来阻止特定地理位置的访问者访问 PBX。通过对照 PBX 的数据库检查访问者的 IP 地址,可以拒绝未经授权的访问。
(3)、使用防火墙规则限制系统访问
SparkleComm PBX 系统内置防火墙规则,只接受可信流量。您还可以在SparkleComm PBX 上创建防火墙规则,以允许或阻止来自特定源 IP 地址/域、端口和 MAC 地址的流量。这样,可能导致攻击欺诈或呼叫丢失的可疑访问将被自动阻止。
为了防止大量连接尝试或暴力攻击,您还可以利用SparkleComm PBX 内置的 IP等级保护功能来定义特定时间间隔内允许的 IP 数据包数量。如果任何 IP 发送超过限制的 IP 数据包,系统将自动阻止该 IP。
- 降低 SIP 通信风险
SIP 中继通常用于将语音数据包从您的组织传输到预期的接收者。任何干扰都可能导致通话质量下降、通话完全断开、窃听等。为了保护 SIP 中继,最好的方法是限制呼出电话并加密通话。
最佳实践 1 设置呼出规则
(1)、不同时间段的不同规则
黑客攻击通常发生在非工作时间、周末和系统人少的假期期间。您可以利用时间条件功能对不同时间段实施不同的呼入或呼出限制规则,以加强自动控制。例如,您可以创建一个名为“假期”的时间条件,并通过将时间条件应用于出站路由来禁用假期期间的出站呼叫。
(2)、只允许需要的人使用
您的员工在公司执行不同的任务,并非所有员工都需要拨打长途或国际电话。考虑为不同的中继(例如本地、长途和国际)配置不同的出站路由,并且只将出站路由权限分配给需要使用它的用户。
(3)、限制外呼频率
一旦黑客侵入您的电话系统,他们可以通过拨打大量电话轻松赚取数万美元。建议您设置在预设时间间隔内可以拨打的呼出电话数量限制。
(4)、限制通话信用并取消自动续费
电信提供商通过对公司能够产生的计费电话数量设置上限来保护客户免受高昂的通话费用的影响。限制信用额度并取消自动充值将有助于最大限度地减少因收费欺诈造成的损失。
最佳实践 2 加密呼叫
加密您的通信可以防止窃听或篡改所有端点之间的音频流。
(1)、使用 TLS 加密信令
传输层安全 (TLS) 是证书形式的安全层,在授予访问权限之前必须对其进行身份验证。启用 TLS 后,您的用户的姓名和电话号码将被隐藏,无法通过窥探来检索。
(2)、使用 SRTP 加密媒体
为了加强安全性,TLS 应该与您的SparkleComm 电话系统上的 SRTP 一起使用。这些可确保 SIP 信令和SparkleComm 音频/视频会话免受任何恶意活动的影响。
- 强化 SIP 扩展
当未经授权访问 SIP 扩展时,中断的可能性尤其显著。犯罪分子可以利用您的电话系统拨打电话并发起其他恶意攻击。实施强密码策略并对分机注册施加限制将有助于保护 SIP 分机。
最佳实践 1 使用强密码
弱密码可能会留下黑客可以轻松利用的潜在安全漏洞。为此,您的 PBX 中的每个必需功能都应使用强密码。通常,SparkleComm PBX 有分机注册、管理网页界面、用户网页界面和语音邮件的密码。您可以通过以下方式保护密码:
.a.避免使用最常见的或系统默认密码。
b.使用至少 8 个字符的强密码,包括大写、小写和数字的混合。
c.为不同的帐户使用不同的密码。
最佳实践 2 限制扩展注册
SparkleComm VoIP系统具有强大的防黑客机制来保护 SIP 注册安全,例如将分机注册限制在 LAN 范围内,并针对过多的注册失败尝试阻止 IP 地址。此外,您还可以选择以下选项来加强安全性:
.
a.限制扩展可以注册的 IP 地址。
b.配置一个与一般默认用户名完全不同的复杂认证名称。
c.根据电话的用户代理设置限制。
- 制定应急计划
尽管可以采取多种措施来保护您的 PBX,但没有绝对的安全。如果攻击者成功渗透到您的 PBX 或迫使您的 PBX 失败,您应该有一个应急计划。
最佳实践 1 建立对系统事件的实时监控、记录和警报
利用事件日志来监控和记录 PBX 上的异常操作,并订阅关键事件。当出现问题时,您可以及时收到通知,快速找出问题所在并制定解决方案。
如果您使用的是SparkleComm PBX系统,您可以在以下两个平台上实现实时监控:
a.PBX 管理员门户:管理单个 PBX。
b.SparkleComm 远程管理:集中监控和管理众多客户驻地 PBX。
最佳实践 2 安排自动备份
a.安排定期备份。如果您的 PBX 无法工作,您可以重置它并从备份文件中恢复配置,以确保快速恢复。
b.将备份存储在外部位置,以防止因物理破坏或盗窃而丢失数据的风险。
c.应用备份保留策略,这有助于限制历史数据和过时数据的数量。
最佳实践 3 实施冗余解决方案
(1)、本地 PBX 系统的热备(基于硬件和软件)
SparkleComm PBX 系统免费提供热备功能,可让您创建镜像服务器对,并在发生故障时立即恢复。部署该方案需要两台完全相同的PBX服务器,在以下几个方面应该完全相同:产品型号、固件和硬件版本、软件配置、局域网设置、硬件安装。
设置热备后,可以实现以下目标:
a.在发生任何故障时快速 1 到 10 秒自动恢复。
b.成对的主用和热备用 PBX 服务器之间共享虚拟 IP,确保在主用服务器出现故障时系统完全切换到备用服务器,包括连接到 PBX 的所有 IP 电话和第三方集成。
c. 发生故障转移事件时通过电子邮件或电话进行即时电子邮件通知
(2)、云 PBX 的高可用性
可靠性不是云的特性;这是一个要求。SparkleComm云PBX服务在基于集群的环境中交付并由SparkleComm管理,具有高可用性冗余部署,可增强灾难恢复,这在许多单实例云部署中是不具备的。
PBX 实例部署为主备对,即热备模式,以支持无缝故障转移。我们还利用主动负载平衡来确保 SBC 服务器之间的最佳资源利用率。这些服务器分布在全球各个地区,为整个服务增加了更多的弹性。有更多内置的安全机制来防范恶意攻击。