专用交换机 (PBX) 最佳实践

英国NCSC：保护组织的电话系统免受网络攻击和电信欺诈。

笔记：

所有 PBX 系统均应遵循NICC 对通信提供商有关客户线路识别显示服务和其他相关服务的要求。   

专用交换机 (PBX) 是一种电信系统，用于管理和路由组织内的传入和传出电话呼叫。实施本指南中概述的步骤将降低攻击者危害您的 PBX 系统的可能性，无论是实施欺诈、煽动拒绝服务 (DoS) 攻击还是利用电信通道。

本指南针对的是 PBX 系统的管理员和/或采购者，因此需要具备一定的电信知识。

介绍  

与任何连接到互联网的系统一样，PBX 系统如果配置不正确，就有被攻击者破坏的风险。攻击者可以通过使用扫描仪或利用系统弱点（例如未更改的默认密码、开放的 SIP 端口或管理不正确（或不存在）的防火墙）来发现漏洞。

一旦进入，犯罪分子就可以通过系统发送高费率国际或收费号码。这些攻击（也称为“拨号欺诈”）通常会持续很长时间，并且涉及拨打数百甚至数千次昂贵的电话号码。

作为 PBX 所有者，您负责电话系统的安全和管理。您的服务提供商可能拥有适当的系统来帮助检测并通知您黑客企图和欺诈，但作为企业主，您将需要支付账单。    

什么是 PBX？  

专用交换机 (PBX) 是一种电信系统，用于管理和路由组织内的传入和传出电话呼叫。本质上，PBX 充当专用内部电话网络，允许员工进行内部和外部通信。

从历史上看，PBX 系统是基于硬件的系统，需要物理交换机和电缆来连接组织内的呼叫。然而，随着技术的进步，PBX 系统已经发展成为基于数字和软件的解决方案，提供除基本呼叫路由之外的广泛功能。作为现代企业的重要组成部分，保护 PBX 免受潜在安全威胁和漏洞的影响非常重要。

集团电话的类型  

PBX 系统有多种类型，每种类型都有自己的特点和应用。

1. 传统集团电话

在数字和基于 IP 的技术兴起之前普遍使用的基于硬件的系统。他们使用交换机和电缆等物理硬件组件管理组织内的传入和传出呼叫。安装这些交换机的一大成本是将每个用户物理连接到 PBX 设备所需的布线。

2. 网络电话交换机

IP PBX 也称为 VoIP PBX，是一种使用互联网协议 (IP) 传输语音和数据的数字 PBX 系统。这些系统使用组织现有的数据网络将语音呼叫作为数据包传输，从而实现更高效、更具成本效益的通信。IP PBX 系统通常提供高级功能，例如语音邮件到电子邮件、视频会议以及与其他数字通信工具的集成。这些系统可以使用wifi网络来降低安装和维护成本。

3. 托管/云 PBX

在托管或云 PBX 系统中，PBX 硬件和软件由第三方服务提供商场外托管。组织通过互联网连接到云 PBX，无需本地设备。这种方法对于想要先进的 PBX 功能而无需基础设施和维护成本的中小型企业 (SME) 特别有吸引力。

4. 虚拟交换机

虚拟 PBX 是一种在虚拟服务器上运行的基于软件的 PBX 解决方案。它是 IP PBX 系统的一个子集，通常由不愿投资物理硬件的企业使用。虚拟 PBX 可以部署在本地或云端，并提供与传统 PBX 系统类似的功能。

5. 混合集团电话

这些系统结合了传统和 IP PBX 系统的元素。它们适合想要逐步迁移到基于 IP 的通信，同时仍使用现有模拟或数字线路的组织。

PBX 系统的一般缓解措施  

NCSC 建议您对所有PBX 系统实施以下安全控制。

安全访问控制和用户身份验证  

·确保用户了解强密码的重要性，并在必要时向他们提供帮助。

·持续监控和审核用户帐户，以识别和禁用任何未使用或未经授权的帐户。

·许多 PBX 系统都具有管理界面，可通过呼叫期间拨打的特定数字和字符组合进行访问。与管理员密码一样，更改任何可能存在的默认值非常重要。您还应该为管理访问实施多重身份验证 (MFA)。    

限制通话  

·限制拨号模式。限制员工可以拨打的号码和目的地类型，以防止欺诈和未经授权的使用。例如，如果您的公司不在英国境外拨打电话，您可以选择禁用国际电话。

·禁用拨打高费率号码或个人号码的功能；这些通常具有较高的通话费用。您还可以选择限制非工作时间（即晚上、周末或节假日）的通话。

·限制呼叫转移或呼叫转接的能力，尤其是对于外部号码。PBX 可以配置为允许将呼叫转发到不同的号码。最常见的滥用是将呼叫路由至高费率或国际号码，但此服务也可能被滥用，使最终被叫方看到 PBX 的客户线路标识符 (CLI)，而不是拨打电话的诈骗者。

合约  

·审查合同条款对于防范潜在陷阱（例如隐藏费用或过高费用）至关重要。在签署之前彻底检查合同，以确保透明度并保护自己免受意外的财务后果。

·确保您的合同明确规定了责任，并且这些责任都包含在合同中。例如，如果您有托管服务并且配置被利用，谁应对欺诈负责？    

监控和记录  

·使用网络监控工具来跟踪呼叫量、呼叫模式和系统性能。这有助于识别异常活动或潜在的安全漏洞。

·安全地存储日志文件，以帮助在发生安全事件时进行取证分析。

密码管理  

·更改所有本地 PBX 组件和设备的默认密码。确保密码强度高，如有必要，可采用 NCSC 密码策略。

防火墙和入侵检测/预防  

·使用防火墙控制网络流量并防止未经授权访问 PBX 系统。

·PBX 应将入站/出站流量完全锁定到受信任的 IP（即 SIP 中继提供商、客户端和其他受信任的 IP）。在适用的情况下，使用SIP 配置文件中的permit=和行来限制 IP 地址访问，并通过设置防止简单的 SIP 扫描。deny=alwaysauthreject=yes

·实施入侵检测/预防系统 (IDS/IPS) 以检测和响应可疑网络活动和潜在安全威胁。    

定期更新和补丁  

·使用最新的安全补丁和更新使 PBX 系统保持最新状态，以防止已知漏洞。这包括在 PBX 本身以及 VoIP 电话组件上运行的软件和固件。尽可能设置自动更新。

加密  

·对本地 PBX 系统中传输中的数据和静态数据实施加密。使用安全传输协议 (TLS) 在 PBX 组件之间进行通信。

定期备份  

·定期安排 PBX 配置和数据的备份，以确保数据完整性并在发生硬件故障或网络攻击时促进灾难恢复。

定期安全审计和渗透测试  

·定期进行安全审计并评估 PBX 系统的安全状况，以识别漏洞和弱点。

·执行渗透测试以模拟潜在的网络攻击并解决任何已识别的漏洞。

灾难恢复规划  

·创建一个全面的计划，概述在发生硬件故障、自然灾害或网络攻击时恢复 PBX 系统的步骤。    

·使用NCSC 的“Exercise in a Box”工具测试和练习您对各种网络攻击的响应。

员工教育和意识  

为员工提供定期安全培训，让他们了解潜在的安全威胁和应遵循的最佳实践。确保所有相关员工知道如何识别和应对 PBX 欺诈迹象，例如：

·短时间重复呼叫

·大量挂断来电

·来电数量意外增加，且呼叫者在应答后挂断

·免费电话使用量或高费用目的地的突然增加

·长时间通话

·下班后通话模式的变化

此外，公司应建立专门且易于访问的报告渠道，以确保所有员工都能以清晰且保密的方式表达他们的担忧。

针对云/托管PBX系统的具体缓解措施  

与所有云服务一样，应该根据我们的云安全指南选择和评估提供商。此外，我们建议您特别考虑云/托管PBX系统的以下安全控制：

·验证提供商是否提供自动更新，以确保系统免受已知漏洞的影响。

·确认云/托管PBX提供商对其系统内传输中的数据和静态数据采用加密，并实施加密协议，例如用于信令的 TLS 和用于媒体流的 SRTP。这可确保语音通信安全并防止窃听和中间人攻击。

针对本地PBX系统的特定缓解措施  

NCSC建议对本地PBX系统实施以下安全控制。

·通过将 PBX 放置在单独的 VLAN 或子网上以将其与其他网络组件分开来隔离 PBX。这可以防止来自网络其他部分的未经授权的访问。    

·对于供应商来说，“直接开箱即用”安装 PBX 更便宜、更快捷，无需定制配置。这些可以为账单支付者提供可以由他们付费使用的服务。如果可能，请在合同中规定提供商将对因 PBX 中的错误配置而造成的任何损失承担责任。

·将备份存储在安全的异地位置，以防止因本地灾难而导致数据丢失。备份是组织响应和恢复过程的重要组成部分。