Proteggere il proprio centralino VoIP

Aumentano continuamente le aziende che sostituiscono i propri centralini tradizionali con centralini VoIP o ibridi (VoIP con interconnessione analogica/ISDN), ma non sempre considerano quanto siano fondamentali alcuni aspetti basilari di sicurezza per evitare spiacevoli sorprese a fine mese.
Hacker di tutto il mondo setacciano la rete in cerca di centralini non protetti per poter “scroccare” delle chiamate internazionali a danno degli ignari proprietari.

Una volta fatta la configurazione base del centralino:

  • La rete LAN nella quale opera il centralino è protetta?
  • Il centralino è correttamente impostato?
  • Gli utenti sono stati “addestrati” all’uso corretto del centralino?

Un caso comune di problemi di sicurezza

Il cliente acquista un centralino VoIP. Ne comprende immediatamente le potenzialità e le funzionalità avanzate (ed anche la semplicità di configurazione) e ne è entusiasta. Rapidamente lui, o il suo tecnico di riferimento, imposta i suoi interni, le linee telefoniche in ingresso ed uscita, magari un menù vocale personalizzato per smistare le chiamate ed una segreteria con inoltro dei messaggi via email, da far partire negli orari fuori ufficio. Infine, per garantirsi la mobilità, aggiunge anche la possibilità di connettersi col proprio smartphone da remoto ed operare come se fosse all’interno del proprio ufficio.

Tutto perfetto, inizia ad utilizzare il centralino in tutta tranquillità.
A fine mese però una pessima sorpresa: la bolletta del telefono è più che salata, si può dire esorbitante. Allarmato chiama subito il proprio provider per avere chiarimenti e scopre che durante il mese sono state effettuate decine di chiamate telefoniche verso Paesi come Cuba, Stati Uniti, vari Stati dell’Africa, ecc. Ovviamente lui sa di non aver fatto quelle chiamate, ma non c’è dubbio che siano state fatte.

Questo cliente è stato colpito da hacker che si sono specializzati proprio nel “rubare” telefonate internazionali da centralini non protetti. E’ un business globale ed è portato avanti da malintenzionati professionisti che, se non fermati con alcuni accorgimenti, possono fare danni notevoli all’economia di una azienda.

Le richieste del cliente

  • Chiamate internazionali disponibili
  • Mobilità tramite softphone per smartphone (Zoiper, ecc.)
  • Interconnessione tra sedi diverse e relativi centralini

Mettere in sicurezza il centralino VoIP

Configurazione del centralino

Prima di tutto vediamo quali sono le cose di cui tenere conto quando configuriamo il centralino, a parte ovviamente le funzionalità di gestione delle chiamate.

  • Impostare come porta SIP una porta diversa dalle standard (5060, 5061, ecc). Sceglierne una fuori range e non intuitiva, per esempio la “48379”
  • Se il centralino dispone della gestione della rete LAN dedicata ai telefoni, utilizzare quella per collegarli, separando il traffico voce da quelle di navigazione dei PC
  • Se il centralino lo permette, impostare gli orari in cui è possibile fare chiamate, almeno quelle internazionali, e quelli in cui non è possibile. Gran parte degli attacchi di questo tipo avviene di notte o in giorni non lavorativi
  • Cercare e disattivare (qualora già non lo sia) l’opzione SIP che permette di effettuare chiamate senza autenticazione sul PBX
  • Se il centralino dispone di funzioni firewall e fail2ban, attivarle per bloccare automaticamente connessioni da IP il cui comportamento risulta ambiguo
  • Evitare di tenere password di default del centralino e scegliere per le estensioni interne delle password complesse che non possano essere facilmente intuite o forzate

Configurare la propria rete

Una parte fondamentale delle sicurezza è data dalla propria rete. La LAN, eventuali VPN, i firewall ed altri accorgimenti permettono di avere la serenità che non ci siano strade per eventuali malintenzionati

  • Qualora sia necessario raggiungere il centralino dalla rete pubblica, nel creare le regole di NAT per il centralino, non impostare come porta SIP una porta standard come la 5060 ma una non intuitiva (ad es. la 48932)
  • Nel caso si stiano collegando più sedi, la soluzione migliore risulta sempre essere la VPN, ma se non è possibile, almeno configurare i router delle varie sedi per concedere l’accesso alla porta SIP dai soli IP delle altre sedi collegate
  • Tenere “sana” la propria rete. Aggiornare i sistemi operativi dei PC, tenere aggiornati anche i firewall dei PC.
    Verificare il modello di router/firewall di cui si dispone, le funzioni di blocco automatico di cui dispone, ed eventualmente attivare le funzioni di filtro basate su registri online di IP considerati malevoli.

Addestrare il proprio personale

E’ importante anche che chi usa il centralino ne conosca le funzioni ed eviti comportamenti poco sicuri per la propria rete ed in particolare per il proprio centralino

  • Se al personale è data la possibilità di utilizzare APP telefoniche per chiare e ricevere dalla rete pubblica (in mobilità) è importante che non diffondano informazioni fondamentali come indirizzi IP, porte utilizzate e interni/password
  • Nel momento in cui devono effettuare chiamate internazionali, dovranno prendere l’abitudine all’utilizzo dei PIN di sicurezza per effettuarle. Ancora meglio, se il centralino lo consente, dare ad ogni impiegato un PIN di accesso personale per le chiamate internazionali
  • Nel PC di lavoro si possono nascondere problemi fondamentali per la sicurezza generale della propria rete. Alcuni malware per PC sono in grado di lavorare come proxy telefonici che si appoggiano sul proprio centralino se questo non è protetto come detto nei punti precedenti. Perciò è fondamentale che il personale sia addestrato ad evitare di aprire allegati sospetti o sconosciuti, o che siano messi in condizione di non poter installare nulla sul proprio PC

Considerazioni finali

Avere un centralino VoIP in azienda è un vantaggio fondamentale e quasi imprescindibile al giorno d’oggi. Ed è possibile gestirlo in tutta sicurezza se si prendono alcune precauzioni semplici, che richiedono poche ore di lavoro ma hanno una ricaduta positiva sulla salute della propria azienda.