3CX: Global IP Blacklist - Segurança por padrão
-
-
Por Pierre Jourdan
Blog 3CX
-
Lista negra de IP global
A lista negra global de IPs 3CX foi lançada pela primeira vez com a versão 16. É um banco de dados central de endereços IP que foram colocados na lista negra por um ou vários sistemas 3CX. Cada instância que participa do programa global de defesa anti-hacking da 3CX faz parte de uma comunidade mundial de servidores IP-PBX, todos contribuindo para manter os hackers longe de sistemas críticos.
Como funciona o programa global de defesa anti-hacking?
Passo 1
Novas instalações têm a lista negra habilitada por padrão. Cada sistema 3CX que tem a opção habilitada importa nossa lista gerenciada centralmente para sua lista negra local a cada 6 horas.
Passo 2
As instâncias também relatam e contribuem para a lista global publicando cada novo evento de lista negra que é acionado localmente. Isso se deve principalmente a repetidas falhas de autenticação via SIP ou acesso à web.
Passo 3
Esta é a característica mais importante e elegante do serviço. As equipes de segurança da 3CX monitoram cada novo endereço IP ofensivo relatado. Podemos identificar padrões de ataque, resultando em uma decisão humana de bloquear o endereço globalmente. Não automatizamos totalmente esse processo por um motivo. Para garantir que servidores ou operadoras VoIP legítimos não sejam bloqueados, nossas equipes de segurança realizam várias verificações manuais antes de adicionar o endereço IP à lista negra.
Passo 4
Às vezes, entramos em contato com administradores de servidores comprometidos para conscientizá-los de que suas máquinas estão participando de tentativas de invasão. Dessa forma, eles podem proteger sua máquina para retardar o ataque ou a varredura.
Quão eficaz é?
Na data da redação deste artigo, a lista global cresceu para incluir cerca de 400.000 endereços IP. Desses endereços, o caso de uso típico é VPN e servidores proxy, por trás dos quais os hackers lançam varreduras SIP automatizadas e campanhas de força bruta.
A lista também inclui muitas máquinas comprometidas que estão sendo usadas como parte de varreduras distribuídas de botnets. Vemos regularmente padrões de máquinas como servidores de e-mail não corrigidos, dispositivos de rede e servidores de vigilância por vídeo sendo usados dessa maneira.
Qualquer administrador 3CX que tenha alertas de e-mail habilitados para "Um IP foi colocado na lista negra" saberá que se a lista negra global estiver desabilitada, esses alertas de e-mail se tornarão incontroláveis devido ao alto volume de eventos.
Por que ativá-lo?
Assim que um serviço SIP for implantado online usando a porta 5060 padrão, ele estará sujeito a um ataque quase imediato. A verificação SIP que mencionamos anteriormente foi criada para procurar servidores ou endpoints configurados com credenciais fracas. Ter a lista negra de IP global habilitada significa que uma grande parte desse tráfego é descartada imediatamente.
Além disso, qualquer administrador que receba os alertas de e-mail da lista negra de IP se beneficiará de um dia tranquilo.
Exemplos do mundo real
Fique de olho em uma série de próximos posts do blog cobrindo mais algumas estatísticas e detalhes sobre padrões de hackers. Abordaremos alguns detalhes sobre o que vimos e como você pode proteger ainda mais sua rede 3CX.
