Criminelen proberen ongeoorloofd toegang te krijgen op telefooncentrales van bedrijven en instellingen, met als doel deze te gebruiken (misbruiken) voor eigen doeleinden. Als uw centrale wordt ‘gekraakt’, kan hij worden gebruikt voor het bellen naar bijvoorbeeld buitenlandse bestemmingen of dure buitenlandse servicenummers vanaf uw aansluiting. U merkt hier helemaal niets van tot u een torenhoge factuur ontvangt. Schade als gevolg van PBX-misbruik kan oplopen tot duizenden euro’s.
En deze criminelen worden steeds creatiever om zich toegang tot de centrale te verschaffen. Wij merken dat criminelen in toenemende mate met grote middelen legitieme netwerken/cloud providers gebruiken om telefooncentrales uit te proberen.
Axeos beheert uw telefooncentrale (PBX) niet. De beheerder/leverancier van uw PBX is, samen met u, verantwoordelijk voor de beveiliging. Deze dient alles in het werk te stellen om PBX misbruik en daarmee eventuele schade te voorkomen.
De telefooncentrale biedt opties om risico op misbruik te drastisch verlagen. Wij adviseren u met klem om onderstaand stappenplan te volgen en de verschillende maatregelen uit te voeren of toe te passen. Zo kunt u de centrale veilig gebruiken en is de kans op misbruik beperkt.
Het instellen van alle beveiligingsmaatregelen kan complex zijn. Vooral het juist instellen van de firewall luistert nauw en moet gedaan worden door iemand met de juiste kennis. Indien deze kennis niet in huis is, zorg dan dat u iemand uw instellingen maakt of controleert.
Stappenplan
Een woord vooraf: doorloop álle stappen. De maatregelen afzonderlijk bieden onvoldoende beveiliging. En zelfs als u het stappenplan volledig aanhoudt, is de beveiliging helaas niet voor 100% gegarandeerd: criminelen zijn creatief en kennen deze maatregelen ook. Ook als er in uw bedrijfsnetwerk een lek zit, of er is een pc gehackt, kunnen deze stappen u niet helpen.
Voor de juiste instellingen en de laatste beveiligingsupdates van uw telefooncentrale kunt u uiteraard terecht bij uw leverancier/beheerder van uw PBX.
Stap 1: Wachtwoorden
Kies lange, sterke wachtwoorden. Gebruik verschillende wachtwoorden in meerdere vpbxen en verschillende accounts.
De Axeos pbx geeft u de mogelijkheid een sterk wachtwoord voor u te genereren. Gebruik deze optie.
U maakt wachtwoorden aan op de volgende plekken:
– toestellen: Communicatie/Toestellen
– gebruikers: Systeem/Gebruikers
Het wachtwoord van uw SIP trunk kun u niet zelf wijzigen. Vindt u dat wachtwoord niet sterk genoeg, vraag dan uw provider dit aan te passen.
Stap 2: Gebruik de functie ‘misbruikpreventie’
Schakel Misbruikpreventie in het menu Systeem/misbruikpreventie. Zet daarin uw eigen kantoor IP’s op “do-not-block”.
Stap 3: IP Sets en Firewall
Vertrouw alleen bekende IP-adressen in de firewall en blokkeer standaard alle onbekende IP-adressen (in het bijzonder SIP verkeer (poort 5060-5069).
Voor het toestaan van spraak: open audio (=RTP of media) voor 0.0.0.0/0 udp 10000:40000 (dit zijn poorten zonder service).
Zet poort 443 (HTTPS) niet open voor de wereld en forceer HTTPS (zie stap 6).
Indien de firewall van de vpbx werkelijk verder open moet staan, weest u zich dan bewust van de risico’s en neem IN IEDER GEVAL de maatregelen in stap 6.
Sinds versie 4.1.10 biedt de vpbx tevens de mogelijkheid om in de firewall met IP Set een DENY toe te passen op een blacklist (voipbl) met bekende malafide adressen.
Uw kunt ook uw eigen IP Sets maken. Een IPset wordt elke dag opnieuw ingelezen, 1 wijziging werkt dan voor alle PBX’en met die IP Set.
Gebruik mobiele telefoonTwee veel voorkomende scenario’s bij het gebruik van een mobiel zijn:1. Alleen gebruik van de browser om de telefooncentrale webinterface te bedienen;2. De smartphone gebruiken om te bellen met de Axeos phone (of andere softphone).U kunt de firewall hierop aanpassen met IP Sets.- Bij scenario 1 volstaat het om alleen HTTPS (= poort 443) open te zetten voor het data network van uw 4G provider als u niet belt met een softphone op uw smartphone . Er is een IP Set met daarin de IP adressen van alle bekende 4G providers.
- Bij scenario 2: maakt u wél gebruik van de Axeos phone om te bellen met voip via uw smartphone, dan moet VoIP (udp+tcp poort 5060 en 5061) en media (udp 10000-40000) worden toegevoegd, in aanvulling op HTTPS. Mocht u niet willen dat de Webinterface te gebruiken is vanaf de smartphone maar toch wil dat er gebeld kan worden, dan kunt u in systeem/netwerk servers GUI toegang beperken tot uw kantoor IP adres. Hiermee is bellen met de Axeos phone volledig functioneel zónder GUI-toegang tot de centrale.
Maak elke firewall-regel zo specifiek mogelijk door telkens te kiezen voor een bepaalde service die u toestaat. Kies niet uit gemak of snelheid bij service voor ‘alle’ want daarmee zet u de firewall gevaarlijk open!
Stap 4: Updates
Installeer altijd de laatste updates. Indien u de melding krijgt dat er een update is, vraag uw leverancier het voor u te installeren.
Stap 5: Logs – rapportages
Zorg voor een goede rapportage via de interne telefoon log. Met goede rapportages herkent u in een vroeg stadium mogelijk frauduleus gebruik. Er zijn meerdere manieren om logs te bekijken.
U kunt de logs zien in het menu Status/Bekijk Log.
Het emailadres dat u invult bij Systeem/Opties/Email en SMTP, wordt gebruikt om cdr-informatie en systeemberichten naartoe te sturen waardoor u op de hoogte wordt gebruik bij veranderingen.
U kunt de logs ook naar een externe server te laten sturen. U doet dit in het menu systeem/opties/logging.
Ten slotte, kunt u ook gebruikmaken van onze uitgebreide rapportage-tool. Als u hierin geïnteresseerd bent, neemt u contact op met uw leverancier of met Axeos: sales@axeos.com.
Stap 6: Instellingen Netwerk Servers
Met deze onderdelen kunt u de toegang tot bepaalde functies verder limiteren door IP-subnets op te geven die u wilt toestaan. Het zijn komma gescheiden lijsten waardoor het mogelijk is om meerdere subnetten of hosts op te geven. Zet de schakelaars AAN.
U vindt deze opties in Systeem/Opties/Netwerk servers.
Stap 7: Permissies
Hackers misbruiken de pbx vaak om naar dure telefoonnummers ergens in de wereld te bellen en er op die manier veel aan te verdienen. U beperkt de schade enorm als u uw gebruikers niet toestaat om naar die landen de bellen. Denk daarbij aan (vrijwel alle) Afrikaanse landen, Aziatische landen (behalve Japan).
Bedenk goed welke gebruikers niet internationaal hoeven te bellen en geef alle gebruikers een zo beperkt mogelijk permissieprofiel. Dit regelt u in het menu Services/Permissiesprofielen. In dit voorbeeld wordt alleen toegestaan dat er naar nummers in Nederland wordt gebeld:
Stap 8: Trunks
Zorg voor een goed passende dag/week limiet op de SIP trunk van uw provider. Mócht er een keer ongeoorloofd gebruik worden gemaakt, dan is de limiet al veel sneller bereikt en wordt het bellen afgekapt. Zo kunnen de belkosten niet explosief omhoogschieten.
Kijk naar uw gemiddelde belgedrag en laat uw provider hierop de limiet aanpassen.