Howto-localized:Bescherming tegen brute force attacks (NL)

From innovaphone-wiki

Jump to: navigation, search

Contents

Applies To

This information applies to

  • innovaphone PBX having direct access to the internet


More Information

Bescherming tegen brute force attacks

Security:Is uw PBX voldoende beveiligd? Er liggen verschillende gevaren op de loer in het internet. U weet dat en daarom beveiligt u uw systemen dienovereenkomstig. Met een firewall houdt u ongenode gasten tegen, en virusscanners bieden bescherming tegen virussen, wormen en trojans en zorgen ervoor dat u zorgeloos kunt surfen en mailen. Ook een telefoonsysteem moet met beveiligingsmechanismen uitgerust worden zodat het niet beschadigd of aangevallen kan worden. Dit geldt in het bijzonder voor systemen die direct op het internet aangesloten zijn, en dus geen beveiligde plek binnen een bedrijfsintranet hebben en daardoor in verhouding makkelijk van buitenaf toegankelijk zijn. In de afgelopen maanden is een stijgend aantal telefoonsystemen d.m.v. de „Brute Force Attack“ methode aangevallen. Hierbij wordt een hackerprogramma gebruikt dat gebruikersnaam/wachtwoord combinaties of registraties test en in een fractie van een seconde meerdere onderzoeken parallel kan laten lopen. Zodra de toegang tot het systeem gelukt is, is het eenvoudig om er misbruik van te maken, ook wel call fraud genoemd. De hacker kan bijvoorbeeld op kosten van de eigenaar van het telefoonsysteem gratis telefoneren. Bijzonder ernstig wordt het wanneer een hacker eerst een dure hotline opzet, deze met het gehackte systeem belt en er dan ook nog aan verdient. Maar voor een deel zijn de aanvallen er ook eenvoudigweg op gericht een telefooninfrastructuur stil te leggen – een beschadiging zonder verder misbruik dus (Denial-of-Service aanvallen, kortweg DOS). Er zijn vele verschillende manieren om de innovaphone PBX goed te beschermen. Maar ook het in acht nemen van de volgende maatregelen kan de veiligheid beduidend verhogen.

Alleen gebruikte objecten creëren

Vaak worden objecten in een systeem aangemaakt die niet actief gebruikt worden (bijv. in het geval van een werknemer die het bedrijf verlaat) en eventueel zelfs niet wachtwoord beveiligd zijn. Op deze manier kan iemand zich van buitenaf in het systeem aanmelden, verschillende extensies uitproberen, een vrije extensie vinden en dan schade aanrichten. Hier is het in ieder geval aan te raden alle objecten met een wachtwoord te beveiligen. Bovendien wordt aangeraden om No. of Regs w/o Pwd op 0 te configureren.

Goede bescherming met complexe gebruikersnaam en wachtwoord

Het woord „admin“ wordt graag als gebruikersnaam bij een registratie gebruikt. Met iets meer creativiteit kan men het hackers al veel moeilijker maken, door een ongebruikelijke naam te nemen (bijv. Gijsbrecht of Ysegrijn). Over het algemeen geldt: een wachtwoord staat niet gelijk aan veiligheid. Wachtwoorden zoals „abc“ of „pbx“ zijn geen grote obstakels voor hackers. Het zou nog geen twee minuten duren om een wachtwoord dat uit drie alleen klein geschreven tekens bestaat te kraken. Voor een wachtwoord dat ook uit drie tekens bestaat, maar een combinatie is van een kleine en grote letter en een cijfer, kost het kraken maximaal een half uur. Heel anders ziet het er uit bij wachtwoorden met acht tekens. Zelfs wanneer het alleen uit kleine letters zou bestaan, heeft een programma er ongeveer 37.968 dagen voor nodig om alle combinaties uit te proberen. Bij een mix van grote en kleine letters en cijfers kost dit maar liefs 97.400 jaar. Waar men ook op moet letten zijn zgn. woordenboekaanvallen. Hierbij wordt het wachtwoord gekraakt d.m.v. een ingeprogrammeerd woordenboek. Wanneer uw wachtwoord tot één van de ongeveer 5000 woorden behoort uit de basiswoordenschat van bijv. de Nederlandse, Franse, Engelse of Duitse taal, kann uw systeem ook binnen een half uur gekraakt worden. Hetzelfde geldt voor gegevens zoals de eigen geboortedatum, op welke manier dan ook geschreven (bijv. 01.01.1960 of 01.01.60). De waarschijnlijkheid dat een wachtwoord gekraakt wordt, wordt kleiner naarmate het aantal combinatiemogelijkheden stijgt. Een wachtwoord dient dus lang te zijn, geen bestaand woord uit het woordenboek te zijn, zowel grote als kleine letters te bevatten, evenals leestekens en/of cijfers. Alleen dan biedt een wachtwoord werkelijke bescherming.

„Unknown registrations“ deactiveren

Er zijn verschillende functionaliteiten die een beheerder bij het in gebruik nemen van een telefoonsysteem helpen en die de roll-out vereenvoudigen. Dit wordt met „Zero Configuration Deployment“ aangeduid. Hiertoe behoren ook de „Unknown registrations“, waarmee een beheerder deelnemers in het telefoonsysteem kan aanmelden zonder de betreffende gebruikersnaam en wachtwoord in te hoeven voeren. Dit maakt vooral grote installaties wezenlijk makkelijker. Deze functie kan geactiveerd en gedeactiveerd worden. Het is van belang de „Unknown registrations“ na een voltooide roll-out weer te deactiveren, omdat anders ook iemand van buitenaf zich kan aanmelden zonder gebruikersnaam of wachtwoord te hoeven gebruiken. In dit artikel hebben we slechts een selectie van eventuele fouten en de bijbehorende beschermingsmechanismen beschreven. Het gebruik van deze mechanismen kan de veiligheid van uw telefoonsysteem wezenlijk verbeteren. Het thema security wordt in de innovaphone Advanced training in een apart onderdeel behandeld. Het is aan te raden dit onderdeel indien nodig nogmaals door te nemen. Uitgebreide informatie vindt u in het trainingsmateriaal.

Configure IP Filter

Het gebruik van IP Adres Filters om de innovaphone PBX te beschermen tegen onbevoegde toegang wordt aangeraden. Alleen adressen uit deze subnets kunnen registreren op de centrale. Vanaf Versie 8 hotfix 8 zijn er twee verschillende filters voor handen. Het eerste IP Filter laat registraties toe zonder paswoord, terwijl het tweede filter registraties toelaat met paswoord.

Use H323/TLS with TLS Only

From V11r1, it is recommended to use H.323/TLS instead of plain H.323. In addition to call signalling encryption, this allows phones to be registered without any password (certificate based). By setting the TLS Only check-mark in the Devices' entry used for registration, password based registration is disabled. This way, no malicious registration is possible with a leaked or hacked user password.

Personal tools