Embed Size (px)
Citation preview
1
Cartilha de Prevenção à Invasão de PABX.
2
1. Introdução ............................................................ 3
2. Por que e como ocorre a invasão .............................. 5
2.1. Através do acesso ao serviço com senha de proteção fraca ou inexistente ....................... 5
2.2. Através do ataque originado pela internet/IP.... 6
3. Como manter um ambiente seguro para as
informações da empresa ......................................... 8
3.1. Senhas de proteção ......................................... 11
4. Quais são os papéis das operadoras .......................... 13
5. O que fazer se o PABX for invadido .......................... 14
5.1. Consequências da invasão no PABX ................... 14
6. Considerações finais .............................................. 16
7. Glossário .............................................................. 17
Índice
3
O PABX é um equipamento que permite a interligação e o controle total das ligações internas e externas, onde cada usuário pode customizar suas configurações.
Como todo PABX possui um sistema “exposto” ao mundo externo, é importante cuidar da segurança, para evitar possíveis invasões ao sistema por hackers e prejuízos à empresa.
A invasão pode ocorrer quando pessoas mal-intencionadas invadem o PABX devido a falhas na proteção e configuração dos recursos:
• DISA - placa cuja função é atender chamadas externas dando tom de discagem para efetuar uma nova chamada pelo PABX.
• CORREIO DE VOZ - sistema de atendimento automático acessado por menu que grava recados.
• URA (Unidade de Resposta Audível) - aparelho utilizado por empresas de call center para seleção de opções no atendimento eletrônico e integrações com banco de dados.
• CALLBACK - sua função é receber chamada externa, desconectá-la e retorná-la à pessoa
de origem.
1. Introdução
PABX
Cliente Informações URA
Atendente
Transfe
rência
Banco de Dados
4
• SIGA-ME - o hacker descobre um ramal desprotegido e usa essa facilidade para transferir as chamadas desse ramal para um telefone externo.
• CHANSPY - monitora em tempo real uma chamada.
• VOIP (Voice Over Internet Protocol) - tecnologia que usa a internet para fazer chamadas por uma conexão, e não por linha telefônica comum.
• RAMAIS IP - registro de ramais através de rede de dados.
• SOFTPHONE - programa que simula a utilização de aparelho “SIP” (Protocolos de Sinalização VOIP) através do computador.
• ATA (Adaptador de Telefone Analógico) - conecta um ou mais aparelhos telefônicos analógicos a uma rede VOIP.
Siga-me
VOIP
IVR
URA
DISA
Softphone
Callback
ATA
Ramal IPCorreio de Voz
Chanspy
PABX
5
Os hackers e as operadoras clandestinas utilizam programas que geram repetidas chamadas para todos os ramais de PABX suscetível à invasão. Assim que descobrem algum ramal desprotegido, que complete chamadas de longa distância (DDD ou DDI) ou um IP válido na internet, o ataque é feito. Agora que você já sabe como o sistema de PABX pode ser invadido, veja como ocorre esse processo através do acesso à senha de proteção e à internet/IP.
2.1. Através do acesso a serviço com senha de proteção fraca ou inexistente
• DISA - é o principal acesso dos invasores na realização de chamadas. O PABX atende a chamada recebida com tom de discagem, e quem ligou digita o código de acesso e o número de destino.
• Correio de voz ou voice mail - ao ser acessado retorna a ligação com permissão total ao usuário, além de autorizar a criação de salas de conferência, chats, ramais virtuais, direcionamento de chamadas, escuta e exclusão de mensagens.
• URA e IVR - permite, através de ligações externas, o acesso ao código de chamada do tronco. Para isso, basta discar “0” ou “9” e realizar chamadas.
• CALLBACK - possibilita retornar a ligação dando tom de discagem, que o invasor utiliza para realizar chamadas externas.
• SIGA-ME - o hacker descobre um ramal desprotegido e usa essa facilidade para transferir as chamadas desse ramal para um telefone externo.
2. Por que e como ocorre a invasão
PABX
Ramais
Chamada Externa
Correio de Voz
Senha-padrão(Ex.: 1234)
6
• CHANSPY - se o PABX tem um sistema de “freepbx” (configura os arquivos textuais que o Asterisk utiliza) instalado e a função Chanspy não foi desativada, basta que o invasor digite o código para ouvir as ligações, podendo tirar proveito de assuntos confidenciais.
2.2. Através do ataque originado pela internet/IP
• VOIP - acesso por IP válido na internet que pode ser facilmente rastreado e invadido. Os acessos com maior volume de invasão são: porta de manutenção remota (IP válido) do PABX; entroncamento VOIP via internet utilizado para comunicação entre filiais; terminais com facilidades que utilizam a internet e IP válido; entre outros serviços associados.
• O&M (Sistema de Operações e Manutenção Técnica) - sem senha ou com senha-padrão
de fábrica, conectados ao acesso remoto e/ou à rede Lan/internet, os O&Ms podem facilmente ser usados pelo invasor como acesso completo ao PABX.
• Ramais IP e Ramais Remotos - quando os ramais são expostos ou conectados à rede LAN com acesso à internet, são facilmente rastreados e clonados.
• Softphones, ATAs, Aparelhos SIP e Aparelhos Wi-fi - ficam expostos quando na programação local não ocorre a modificação da senha de configuração.
• Sniffer Sip - realiza o desenho da rede de voz SIP para identificar todos os parâmetros trafegados, inclusive senhas. O Sniffer Sip é usado para gravar chamadas que trafegam pela rede. É extremamente simples aplicar uma escuta telefônica em uma rede corporativa desprotegida.
Manutenção Remota
Roteador VOIP
Internet
PABXModem
AcessoIP Válido
Filial Filial
Ramais
7
• Exploit - programa de computador que gera uma série de dados ou uma sequência de comandos, aproveitando-se da vulnerabilidade do sistema e formas de bruteforce (processo manual e automatizado que busca descobertas de senhas/logins), utilizado principalmente para protocolos SIP, IAX e H323 na tentativa de invasão em sistemas plugados à internet ou que possuam ramais remotos.
• Mesa Operadora com Acesso Irrestrito ao O&M - pode ser utilizada para reprogramar restrições sem autorização. Esse tipo de invasão é interna; somente ocorre externamente se a mesa em questão for IP.
• Discador - quando está conectado à internet pode ser invadido e programado para gerar chamada de callback com transferência.
8
Saiba como prevenir invasões e proteger o PABX da sua empresa:
• Crie uma política de segurança e passe para todos os usuários, enfatizando a sua importância.
• Utilize mecanismo de controle de acesso remoto, como o Código de Autorização do PABX.
• Evite que o sistema de O&M esteja instalado junto com a rede de acesso à internet e de autenticação de ramais. Prefira a utilização de “acesso dial-up” (é o acesso ao sistema através da conexão discada via linha analógica ou ramal analógico), mantendo-o ligado apenas durante a programação do sistema.
• Não permita que a configuração do DISA autorize a realização de chamadas sem o uso de senha e procure sempre associar a senha ao ramal físico do usuário, facilitando a identificação da origem das chamadas.
• Restrinja o acesso remoto de Operações e Manutenção Técnica (O&M) somente a pessoas autorizadas. Compartilhe com elas a responsabilidade de manter em sigilo as senhas do sistema. Procure criar senhas de diferentes níveis para identificar, via logs, quem acessou o PABX.
• Consulte periodicamente a mantenedora e/ou o fabricante sobre atualizações de software e pacotes de segurança.
• Oriente as telefonistas/atendentes da empresa a não completar chamadas recebidas externamente para números externos.
• Mantenha um back-up de dados do PABX atualizado com o menor intervalo de tempo possível e/ou sempre que houver alteração de algum parâmetro no equipamento.
• Determine restrições de destinos por ramais, conforme o perfil do usuário (local, móvel, DDD e DDI).
• Restrinja a utilização de chamadas tronco-tronco (trata-se de chamadas procedentes de um tronco externo, pedindo autorização para realização de chamada em outro tronco externo).
3. Como manter um ambiente seguro para informações da empresa
9
• Permita o recebimento de chamada a cobrar apenas para ramais estratégicos. Se possível bloqueie esse tipo de chamada para os ramais designados a correio de voz, placa DISA, URA, O&M, etc.
• Bloqueie ramais de correio de voz que possam originar chamadas externas.
• Acompanhe os destinos das chamadas nacionais e internacionais, o tempo médio dessas chamadas e as ocorrências de ligações a cobrar, comparando com o perfil histórico dessas chamadas.
• Permita a possibilidade de transferência de chamadas apenas a ramais predefinidos ou à telefonista. Se possível, bloqueie o código de acesso ao tronco externo (“0” ou “9”) em sistemas de Atendimento Automático (DISA, URA, IVR, etc.).
• Seja criterioso para disponibilizar aos funcionários acesso ao correio de voz da empresa, avalie de fato quem precisa dessa facilidade.
• Restrinja a facilidade de callback externa, liberando-a apenas para ramais de call center.
• Restrinja a conferência entre chamadas, conforme perfil do usuário.
• Impeça a transferência de chamadas recebidas na central de atendimento da empresa (0800) para outros departamentos (ramais) internos.
• Restrinja a facilidade de Siga-me externo para os ramais que realmente necessitam.
• Programe a Sinalização de Desconexão Forçada por tempo. Recomenda-se desconectar ligações com duração acima de 2 horas.
• Utilize redes privadas sem acesso à internet para registro de ramais remotos ou conexão com VOIP.
• Utilize sistemas de controle na administração de servidores de voz, por exemplo, o caso do “SSH” (programa de computador e protocolo de rede que permite a conexão entre computadores, de forma a executar comandos de uma unidade remota) para verificar mensagens ou assegurar os logs. Verifique se não existem tentativas de logon utilizando bruteforce ou técnica similar para SIP.
10
• Garanta a distância entre a rede de telefonia e a rede de acesso à internet. Separe-as fisicamente ou sobre “VLANs” (rede local virtual) corretamente configuradas. Observe a questão do “VLAN Hopping” (método de atacar recursos de rede em uma VLAN) e também do “Voip Hopper” (framework que também executa testes para avaliar a insegurança de VLANs).
• Utilize firewalls, NAT, IPS e restrição de portas na autenticação de ramais, assim como restrição de acesso às configurações dos ATAs.
• Evite utilizar a rede de registro, verificando se está repetido.
• Cuidado com o redirecionamento de portas, como a liberação do freepbx para a internet.
• Utilize redes distintas e separadas para telefonia e para dados, inclusive com a utilização de “Access Point” (dispositivo em uma rede sem fio que realiza a interconexão entre todos os dispositivos móveis) distinto para solução wi-fi. Se possível, separe as redes efetivamente, de forma física, e não apenas utilizando “subnets” (divida uma rede em várias partes, aumentando assim o número de redes e diminuindo o número de hosts) distintas.
• Utilize sistema de provisioning para configurar os ATAs/ramais IPs ativos em rede privada. Caso o ATA/ramal IP esteja exposto na internet, a configuração deve ser individual, evitando a exposição da senha de conta SIP.
Roteador
Rede de Dados
Internet
Firewall
11
• Utilize sempre IPS (Intrusion Prevention System) para garantir a segurança e aplique quarentena em endereços IP com números excessivos de tentativa de logon.
• Não exponha os ramais (SIP/IAX/H323) na internet (fixa ou móvel). Se o fizer, procure utilizar tunelamento VPN com autenticação de senha para inibir a exposição do endereçamento IP.
3.1. Senhas de proteção
A senha serve para autenticar um usuário. Qualquer pessoa que possua a senha de programação do PABX terá acesso às suas facilidades e poderá utilizá-la para outros fins.
Para maior segurança, limite o acesso à senha de programação do PABX a todas as funções e facilidades do sistema e siga as dicas abaixo:
• Troque a senha de todos os recursos (correio de voz, URA, cadeado eletrônico, DISA, etc.) periodicamente, a cada dois ou três meses, para assegurar um ambiente mais seguro.
• Nunca use senhas de fácil memorização, como o número do ramal, senhas sequenciais, datas e/ou nomes conhecidos.
• Nunca utilize a senha-padrão do sistema, troque-a sempre.
• Procure usar senhas até mesmo em ramais de fax e salas de reunião, evitando a invasão interna desses ramais.
Rede Pública
Cliente VPN
ISPInformação Encapsulada
Servidor VPN
Túnel Protocolo de Tunelamento
Rede de Destino
12
• Altere as senhas sempre que ocorrer troca de pessoal responsável pela manutenção e operação dos equipamentos PABX.
• Modifique as senhas dos ATAs e Softphones, mesmo que esses tenham sido fornecidos por provedores VOIP.
Existem equipamentos que possuem pacotes de segurança que forçam a troca de senha periodicamente.
13
A Anatel cobra eficiência das operadoras nas chamadas completadas.
A equipe de análise de risco, através da pré-fatura, trabalha na análise de chamadas para países suspeitos e notifica o cliente no caso dessa ocorrência.
Devido ao acordo de interconexão entre operadoras, as chamadas DDD/DDI de fixo e móvel podem aparecer na fatura em até 90 dias a partir da execução da chamada.
Em caso de dúvida, solicite uma análise de contas telefônicas de sua empresa.
4. Quais são os papéis das operadoras
14
• Desconecte imediatamente o PABX da rede de dados exposta na internet.
• Acione imediatamente o mantenedor.
• Bloqueie ou desligue os ramais designados a correio de voz, DISA, placa atendedora, URA,VOIP, etc.
• Bloqueie todos os acessos a chamadas internacionais no seu equipamento.
• Se possível, desconecte os provedores VOIP do sistema.
• Verifique se não existem “backdoors” (programas que instalam um ambiente de serviço em um computador, tornando-o acessível a distância, permitindo o controle remoto da máquina sem que o usuário saiba), observando quais portas precisam realmente ficar abertas no servidor e firewall.
• Verifique se a empresa possui um script para reiniciar o PABX.
• Carregue o último backup seguro do sistema.
• Faça um boletim de ocorrência na delegacia de crimes cibernéticos.
• Mantenha o sistema em observação, até que haja garantia da segurança.
5.1. Consequências da invasão no PABX
• Utilização do PABX para efetuar ligações sem o conhecimento da empresa, gerando faturas com custos elevados.
• Divulgação de mensagens falsas (chat).
• Destruição ou visualização de dados confidenciais.
5. O que fazer se o PABX for invadido
15
• Criação de “ramais virtuais” (ramais que possuem posição lógica, mas não existem fisicamente) e salas de distribuição de chamadas.
• Risco de paralisação do PABX, gerando desprogramação e transtornos para a empresa.
• Acesso ao sistema PABX por pessoas não autorizadas que fazem uso de atividades ilícitas, escondendo sua real identidade e localização.
• Modificação de facilidades no PABX.
• Criação de salas de conferência, utilizando a memória do PABX.
• Aumento do tempo de utilização da linha e, consequentemente, aumento na fatura.
• As chamadas geradas através da invasão do equipamento serão devidamente cobradas.
16
Segurança é um item muito importante em ambientes com PABX instalado. Por isso, faça com que sua empresa utilize os mecanismos de proteção e guias com as “Melhores Práticas” dos próprios sistemas.
Tanto o PABX convencional quanto o VOIP podem ser muito seguros se utilizados em uma rede privada. Fique atento aos pequenos detalhes da implantação e sempre avalie como o invasor/fraudador pode usufruir o ambiente de comunicação de sua empresa, utilizando ferramentas para impedi-lo.
6. Considerações finais
17
ACCESS POINT ou AP (Ponto de Acesso): dispositivo em uma rede sem fio que realiza a interconexão entre todos os dispositivos móveis.
ACESSO DIAL-UP: acesso ao sistema por meio de uma conexão discada via analógica ou ramal analógico.
BACKDOORS: programas que instalam um ambiente de serviço em um computador, permitindo o controle a distância da máquina sem que o usuário saiba.
BRUTEFORCE: processo manual e automatizado que busca descobertas de senhas/logins.
CHAT: sala de bate-papo.
EXPLOIT: programa de computador que gera uma série de dados ou uma sequência de comandos, aproveitando-se da vulnerabilidade do sistema.
FREEPBX: tem a função de configurar os arquivos textuais que o Asterisk utiliza.
RAMAIS VIRTUAIS: ramais que possuem posição lógica, mas não existem fisicamente.
SIP, IAX e H323: protocolos de sinalização VOIP.
SNIFFER SIP: realiza “tracer” na rede de voz SIP para identificar todos os parâmetros trafegados, inclusive senhas.
SSH (Secure Shell): programa de computador e protocolo de rede que permite a conexão entre computadores de forma a executar comandos de uma unidade remota.
VLAN: rede local virtual.
VLAN Hopping: método de atacar recursos de rede em VLAN.
7. Glossário
18
Voip Hopper: framework que também executa testes para avaliar a insegurança de VLANs.
Wi-fi: termo para se referir a redes sem fio baseadas no padrão IEEE 802.11.
Subnets (Sub-rede): quando se divide uma rede em várias partes, aumentando assim o número de redes e diminuindo o de hosts.
