Howto-localized:Protezione da Brute Force Attacks (I)

From innovaphone-wiki

Jump to: navigation, search

Contents

Applies To

This information applies to

  • innovaphone PBX having direct access to the internet


More Information

Protezione da Brute Force Attacks

Security: il Vostro PBX è sufficientemente protetto? Ci sono alcuni pericoli in agguato in Internet. Lo sapete e quindi rendete sicuri i Vostri sistemi con adeguati meccanismi di protezione. Un Firewall protegge la Vostra rete da accessi non autorizzati, un antivirus Vi protegge da virus, worm, trojan, ecc. e consente una navigazione e l’invio di posta elettronica senza preoccupazioni. Anche un sistema telefonico deve venire dotato di meccanismi di protezione affinché non veniate danneggiati o attaccati. Ciò vale in particolar modo per impianti collegati direttamente ad Internet, che non hanno alcuno spazio protetto sull’Intranet aziendale e, quindi, sono facilmente accessibili dall’esterno. Negli ultimi mesi si è avuto un incremento degli attacchi contro sistemi telefonici utilizzando il metodo „Brute Force Attack“. Un programma Hacker testa combinazioni user-password o registrazioni e crea, nella frazione di un secondo, richieste parallele multiple. Se l’accesso al sistema riesce, l’uso improprio, chiamato anche „Call Fraud“, è semplice. Ad esempio, l’Hacker può telefonare gratis a spese dell‘intestatario del sistema telefonico. Casi particolarmente gravi sono quelli in cui un Hacker per prima cosa mette in piedi una costosa Hotline, la seleziona tramite il sistema telefonico crackato e guadagna sugli addebiti. Talvolta gli attacchi mirano solo a rendere inattiva un‘infrastruttura telefonica, quindi un danno senza ulteriori usi illeciti (attacchi Denial-of-Service, in breve DOS). Ci sono molti differenti meccanismi per proteggere al meglio l’innovaphone PBX. Ma già solo l’osservanza delle seguenti misure aumenta di molto la sicurezza:

Creare solo oggetti usati

A volte vengono creati nel PBX oggetti che non vengono poi più utilizzati attivamente (es. il dipendente lascia l’azienda) e potrebbero non essere nemmeno protetti da password. Chiunque può accedere al sistema dall‘esterno, provare differenti numeri interni, trovarne uno libero ed arrecare danni. E‘ quindi consigliabile proteggere in ogni caso con una password tutti gli oggetti che vengono creati.It is advisable to protect all objects created with a password and set No. of Regs w/o Pwd to 0.

Regolare protezione di Username e Password

Di default, come utente per una registrazione viene volentieri scelto „admin“. Con un pizzico di creatività si può rendere agli Hacker la vita più difficile, dando a quest‘utente un nome particolare (es. „Fridolin“ oppure „Frau Holle“?). In linea generale vale: una password non è sinonimo di protezione. Password come „abc“ o „pbx“ non sono un grande ostacolo per gli Hacker. Per crackare queste password formate da tre cifre e con solo lettere minuscole basterebbero non più di 2 minuti. Una password di tre cifre che contiene lettere minuscole in combinazione con lettere maiuscole e numeri resisterebbe ad un medesimo attacco a malapena mezz’ora. La situazione è tutt’altra nel caso di una password a otto cifre. Anche se contiene solo lettere minuscole, un programma necessita di ca. 37.968 giorni per provare tutte le combinazioni. Nel caso di un misto fatto di lettere minuscole e maiuscole e di numeri si potrebbe essere orgogliosi di essere arrivati ad avere 97.400 anni. Da tenere presente è anche l‘ „Approccio dizionario“ in quanto verrebbe sconfitto da questi presupposti: se si sceglie una delle ca. 5000 parole che sono contenute nel vocabolario base tedesco ed inglese, si viene crackati nel giro di un’ora. La stessa cosa vale per i dati, come ad esempio la propria data di nascita in qualsiasi modo la si scriva (es. 01.01.1960 oppure 01.01.60). Per rappresentare una reale protezione, la password dovrebbe quindi essere piuttosto lunga, non corrispondere all’approccio dizionario, contenere lettere maiuscole e minuscole ed essere dotata anche di caratteri speciali e/o numeri: aumentano le possibilità di combinazioni all’interno di una password e diminuisce la probabilità che la password venga crackata.

Disattivare „Unknown registrations“

Ci sono diverse funzioni che supportano un amministratore nell’attivazione di un sistema telefonico e semplificano il Rollout. Vengono chiamate "Zero Configuration Deployment”. Di queste fanno parte anche le “Unknown registrations” con l’aiuto delle quali l’amministratore può eseguire registrazioni sul sistema telefonico senza dover indicare il corrispettivo utente ed una password. Specialmente per grandi installazioni, ciò significa un considerevole alleggerimento. Questa funzione può venire attivata e disattivata. E’ quindi importante disattivare nuovamente le „Unknown registrations“ dopo aver terminato il Rollout in quanto, altrimenti, anche una persona esterna potrebbe effettuare una registrazione senza ulteriore indicazione di utente e password.

Vengono descritte solo selezionate fonti di errore ed i corrispettivi meccanismi di protezione. Un’applicazione di questi meccanismi può già migliorare considerevolmente la sicurezza del Vostro sistema telefonico. Il tema della Security viene trattato nel corso innovaphone Advanced in una lezione separata. Se necessario, si consiglia vivamente di rivedere ancora una volta questa lezione! Informazioni dettagliate potete reperirle nel materiale dei corsi oppure leggendo l’innovaphone Wiki.

Configurazione filtri IP

È consigliato definire filtri IP globali in modo da poter proteggere la PBX innovaphone da accessi non autorizzati. Solamente le registrazioni da questi reti IP configurate sono ammesse. Iniziando dalla Versione V8 HF8 si hanno 2 filtri differenti. Un filtro è per le registrazioni senza codice, e un altro filtro è per le registrazioni con codice.

Utilizzo H323/TLS con TLS Only

Dalla Versione V11r1 è consigliato utilizzare H.323/TLS anziché solamente H.323. Ulteriore al criptaggio della segnalazione questa ammette una registrazione sicura dei telefoni senza codice (basato su un certificato). Tramite la scelta dell‘opzione TLS Only nella nota Devices che viene utilizzata per la registrazione, è possibile impedire la registrazione basata su un codice. In questo modo tentativi di registrazioni maligne tramite codici rubati o decifrati possono essere impediti.

Personal tools