专用交换机 (PBX) 最佳实践

admin 2024年4月8日09:59:26评论9 views字数 4342阅读14分28秒阅读模式

英国NCSC:保护组织的电话系统免受网络攻击和电信欺诈。

专用交换机 (PBX) 最佳实践

笔记:

所有 PBX 系统均应遵循NICC 对通信提供商有关客户线路识别显示服务和其他相关服务的要求。   

专用交换机 (PBX) 是一种电信系统,用于管理和路由组织内的传入和传出电话呼叫。实施本指南中概述的步骤将降低攻击者危害您的 PBX 系统的可能性,无论是实施欺诈、煽动拒绝服务 (DoS) 攻击还是利用电信通道。

本指南针对的是 PBX 系统的管理员和/或采购者,因此需要具备一定的电信知识。

专用交换机 (PBX) 最佳实践

介绍  

与任何连接到互联网的系统一样,PBX 系统如果配置不正确,就有被攻击者破坏的风险。攻击者可以通过使用扫描仪或利用系统弱点(例如未更改的默认密码、开放的 SIP 端口或管理不正确(或不存在)的防火墙)来发现漏洞。

一旦进入,犯罪分子就可以通过系统发送高费率国际或收费号码。这些攻击(也称为“拨号欺诈”)通常会持续很长时间,并且涉及拨打数百甚至数千次昂贵的电话号码。

作为 PBX 所有者,您负责电话系统的安全和管理。您的服务提供商可能拥有适当的系统来帮助检测并通知您黑客企图和欺诈,但作为企业主,您将需要支付账单。    

什么是 PBX?  

专用交换机 (PBX) 是一种电信系统,用于管理和路由组织内的传入和传出电话呼叫。本质上,PBX 充当专用内部电话网络,允许员工进行内部和外部通信。

从历史上看,PBX 系统是基于硬件的系统,需要物理交换机和电缆来连接组织内的呼叫。然而,随着技术的进步,PBX 系统已经发展成为基于数字和软件的解决方案,提供除基本呼叫路由之外的广泛功能。作为现代企业的重要组成部分,保护 PBX 免受潜在安全威胁和漏洞的影响非常重要。

专用交换机 (PBX) 最佳实践

集团电话的类型  

PBX 系统有多种类型,每种类型都有自己的特点和应用。

1. 传统集团电话

在数字和基于 IP 的技术兴起之前普遍使用的基于硬件的系统。他们使用交换机和电缆等物理硬件组件管理组织内的传入和传出呼叫。安装这些交换机的一大成本是将每个用户物理连接到 PBX 设备所需的布线。

2. 网络电话交换机

IP PBX 也称为 VoIP PBX,是一种使用互联网协议 (IP) 传输语音和数据的数字 PBX 系统。这些系统使用组织现有的数据网络将语音呼叫作为数据包传输,从而实现更高效、更具成本效益的通信。IP PBX 系统通常提供高级功能,例如语音邮件到电子邮件、视频会议以及与其他数字通信工具的集成。这些系统可以使用wifi网络来降低安装和维护成本。

3. 托管/云 PBX

在托管或云 PBX 系统中,PBX 硬件和软件由第三方服务提供商场外托管。组织通过互联网连接到云 PBX,无需本地设备。这种方法对于想要先进的 PBX 功能而无需基础设施和维护成本的中小型企业 (SME) 特别有吸引力。

4. 虚拟交换机

虚拟 PBX 是一种在虚拟服务器上运行的基于软件的 PBX 解决方案。它是 IP PBX 系统的一个子集,通常由不愿投资物理硬件的企业使用。虚拟 PBX 可以部署在本地或云端,并提供与传统 PBX 系统类似的功能。

5. 混合集团电话

这些系统结合了传统和 IP PBX 系统的元素。它们适合想要逐步迁移到基于 IP 的通信,同时仍使用现有模拟或数字线路的组织。

专用交换机 (PBX) 最佳实践

PBX 系统的一般缓解措施  

NCSC 建议您对所有PBX 系统实施以下安全控制。

安全访问控制和用户身份验证  

·确保用户了解强密码的重要性,并在必要时向他们提供帮助

·持续监控和审核用户帐户,以识别和禁用任何未使用或未经授权的帐户。

·许多 PBX 系统都具有管理界面,可通过呼叫期间拨打的特定数字和字符组合进行访问。与管理员密码一样,更改任何可能存在的默认值非常重要。您还应该为管理访问实施多重身份验证 (MFA)。    

限制通话  

·限制拨号模式。限制员工可以拨打的号码和目的地类型,以防止欺诈和未经授权的使用。例如,如果您的公司不在英国境外拨打电话,您可以选择禁用国际电话。

·禁用拨打高费率号码或个人号码的功能;这些通常具有较高的通话费用。您还可以选择限制非工作时间(即晚上、周末或节假日)的通话。

·限制呼叫转移或呼叫转接的能力,尤其是对于外部号码。PBX 可以配置为允许将呼叫转发到不同的号码。最常见的滥用是将呼叫路由至高费率或国际号码,但此服务也可能被滥用,使最终被叫方看到 PBX 的客户线路标识符 (CLI),而不是拨打电话的诈骗者。

合约  

·审查合同条款对于防范潜在陷阱(例如隐藏费用或过高费用)至关重要。在签署之前彻底检查合同,以确保透明度并保护自己免受意外的财务后果。

·确保您的合同明确规定了责任,并且这些责任都包含在合同中。例如,如果您有托管服务并且配置被利用,谁应对欺诈负责?    

监控和记录  

·使用网络监控工具来跟踪呼叫量、呼叫模式和系统性能。这有助于识别异常活动或潜在的安全漏洞。

·安全地存储日志文件,以帮助在发生安全事件时进行取证分析。

密码管理  

·更改所有本地 PBX 组件和设备的默认密码。确保密码强度高,如有必要,可采用 NCSC 密码策略

防火墙和入侵检测/预防  

·使用防火墙控制网络流量并防止未经授权访问 PBX 系统。

·PBX 应将入站/出站流量完全锁定到受信任的 IP(即 SIP 中继提供商、客户端和其他受信任的 IP)。在适用的情况下,使用SIP 配置文件中的permit=和行来限制 IP 地址访问,并通过设置防止简单的 SIP 扫描。deny=alwaysauthreject=yes

·实施入侵检测/预防系统 (IDS/IPS) 以检测和响应可疑网络活动和潜在安全威胁。    

定期更新和补丁  

·使用最新的安全补丁和更新使 PBX 系统保持最新状态,以防止已知漏洞。这包括在 PBX 本身以及 VoIP 电话组件上运行的软件和固件。尽可能设置自动更新。

加密  

·对本地 PBX 系统中传输中的数据和静态数据实施加密。使用安全传输协议 (TLS) 在 PBX 组件之间进行通信。

定期备份  

·定期安排 PBX 配置和数据的备份,以确保数据完整性并在发生硬件故障或网络攻击时促进灾难恢复。

定期安全审计和渗透测试  

·定期进行安全审计并评估 PBX 系统的安全状况,以识别漏洞和弱点。

·执行渗透测试以模拟潜在的网络攻击并解决任何已识别的漏洞。

灾难恢复规划  

·创建一个全面的计划,概述在发生硬件故障、自然灾害或网络攻击时恢复 PBX 系统的步骤。    

·使用NCSC 的“Exercise in a Box”工具测试和练习您对各种网络攻击的响应。

员工教育和意识  

为员工提供定期安全培训,让他们了解潜在的安全威胁和应遵循的最佳实践。确保所有相关员工知道如何识别和应对 PBX 欺诈迹象,例如:

·短时间重复呼叫

·大量挂断来电

·来电数量意外增加,且呼叫者在应答后挂断

·免费电话使用量或高费用目的地的突然增加

·长时间通话

·下班后通话模式的变化

此外,公司应建立专门且易于访问的报告渠道,以确保所有员工都能以清晰且保密的方式表达他们的担忧。

专用交换机 (PBX) 最佳实践    

针对云/托管PBX系统的具体缓解措施  

与所有云服务一样,应该根据我们的云安全指南选择和评估提供商。此外,我们建议您特别考虑云/托管PBX系统的以下安全控制:

·验证提供商是否提供自动更新,以确保系统免受已知漏洞的影响。

·确认云/托管PBX提供商对其系统内传输中的数据和静态数据采用加密,并实施加密协议,例如用于信令的 TLS 和用于媒体流的 SRTP。这可确保语音通信安全并防止窃听和中间人攻击。

专用交换机 (PBX) 最佳实践

针对本地PBX系统的特定缓解措施  

NCSC建议对本地PBX系统实施以下安全控制。

·通过将 PBX 放置在单独的 VLAN 或子网上以将其与其他网络组件分开来隔离 PBX。这可以防止来自网络其他部分的未经授权的访问。    

·对于供应商来说,“直接开箱即用”安装 PBX 更便宜、更快捷,无需定制配置。这些可以为账单支付者提供可以由他们付费使用的服务。如果可能,请在合同中规定提供商将对因 PBX 中的错误配置而造成的任何损失承担责任。

·将备份存储在安全的异地位置,以防止因本地灾难而导致数据丢失。备份是组织响应和恢复过程的重要组成部分。

—END—

专用交换机 (PBX) 最佳实践

精彩回顾:祺印说信安2024之前
90个网络和数据安全相关法律法规打包下载
2023年收集标准合集下载
收集信通院白皮书系列合集(618个)下载
>>>网络安全等级保护<<<
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
等级保护网络架构安全要求与网络分段的7个安全优点
网络安全等级保护相关知识汇总
>>>数据安全系列<<<
数据安全管理从哪里开始
数据安全知识:数据安全策略规划
数据安全知识:数据库安全重要性
>>>错与罚<<<
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
严厉打击网络谣言!商丘警方公布4起典型案例
侮辱南阳火灾遇难学生的“谯城芳芳姐”获十日行政拘留
宁夏网警公布5起打击谣言典型案例
吉林警方公布3起、湖北公安公布5起打击谣言典型案例
安徽警方依法打击整治网络谣言10起典型案例
2023年度国家网络与信息安全信息通报工作总结会议在京召开
焦点访谈丨拒绝“按键”伤人 避免网络戾气变成伤人利器
全国公安厅局长会议召开 忠实履行神圣职责 为扎实稳健推进中国式现代化贡献公安力量
公安部:纵深推进全面从严管党治警 着力锻造忠诚干净担当的新时代公安铁军
山西公布10、辽宁网警公布6起打击谣言典型案例
重庆璧山出现比缅甸还恐怖的新型背债人?警方:系某房产中介为博眼球造谣
上海、四川、浙江、福建警方宣传和打击整治网络谣言
四川德阳网警开展打击整治网络谣言宣传活动
广安警方公布4起打击整治网络谣言典型案例
四川查处两起利用AI编造、传播网络谣言案件
西安网警依法处置一起网络暴力案件
中信银行被罚400万,涉信息安全风险隐患未得到整改、虚假演练等
中行被罚430万,涉迟报重要信息系统重大突发事件等
新疆警方公布5起打击整治网络谣言典型案件
山西忻州一网民因编造地震谣言被依法查处
公安部召开新闻发布会通报打击黑客类违法犯罪举措成效并答记者问
有坏人!快藏好您的个人信息
在西藏架设“GOIP”设备给骗子提供帮助,10人落网!
网上买卖传播淫秽物品,触犯法律!
“温州帮”竟然是缅北电诈后台?警方通报来了
借甘肃积石山地震造谣博流量,行拘!
陕西警方公布6起打谣典型案例
“再来一次12级地震”,行拘!
江西警方公布7起“打谣”典型案例
江苏警方公布8起打谣典型案例
越想越生气,酒后干出糊涂事……
邯郸刘某某因编造网络谣言被依法查处!
>>>其他<<<
2023年10佳免费网络威胁情报来源和工具
2023年网络安全资金下降40%
为什么攻击模拟是避免 KO 的关键
持续安全监控对于稳健的网络安全策略的重要性
网络安全策略:远程访问策略
网络安全策略:账户管理策略
保护企业的19项网络安全最佳实践
网络安全团队友情如何增强安全性
实现混合网络时代的“无摩擦防御”

物联网不是一份持续接受的礼物

确保完整的 IT 资产可见性及安全

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月8日09:59:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   专用交换机 (PBX) 最佳实践https://cn-sec.com/archives/2635930.html

发表评论

匿名网友 填写信息