Les meilleures pratiques pour sécuriser votre PBX
Sécurisez votre infrastructure avec la solution PBX de Yeastar
Acheter ou louer son standard téléphonique ?
#standard téléphonique #PABX #IPBX # standard interne #standard externe #location #achat
Comment pouvez-vous protéger votre système PBX crucial pour votre entreprise contre les menaces potentielles sur Internet et les actes répréhensibles internes ?
Cet article de blog présente les politiques de sécurité indispensables et les services et fonctionnalités innovants du système PBX de Yeastar qui vous protègent efficacement contre les attaques.
Liste de contrôle de sécurité VoIP : Comment sécuriser votre PBX
Dans de nombreux cas, la meilleure façon de protéger un système téléphonique PBX est de mettre en place une solution de sécurité multicouche. Cela signifie que vous devez déployer plusieurs mesures de défense pour protéger les points vulnérables de votre système téléphonique.
Défendez-vous contre les menaces de sécurité réseau
Le réseau de votre organisation est la première ligne de défense contre la cybercriminalité. Si un pirate informatique parvient à accéder au réseau de votre organisation qui prend en charge les communications VoIP, cela peut entraîner des attaques de déni de service (DoS) ou une diminution significative de la qualité de service (QoS). Pour éviter cela, vous devez éviter d’exposer l’intranet du PBX au public et bloquer l’accès non autorisé.
- Meilleur pratique 1
Évitez le transfert de port
Dans le but d’offrir un accès distant aux utilisateurs distants et mobiles, la plupart des fournisseurs de PBX sur site recommanderont le transfert de port. Mais ce n’est pas du tout une bonne idée.
Essentiellement, le transfert de port mappe un port externe de votre adresse IP publique vers le PBX qui se trouve dans votre réseau local privé (LAN). Cela expose votre PBX sur Internet et présente des risques potentiels car les pirates informatiques pourraient pénétrer votre réseau via le port transféré. Et en réalité, le piratage par le biais du transfert de port a été la manière la plus courante pour les pirates informatiques de lancer des attaques.
Vous aurez besoin d’une méthode plus sécurisée pour maintenir un accès distant aux fonctionnalités nécessaires et, en même temps, éviter d’utiliser le transfert de port qui expose votre LAN.
Pour résoudre ce dilemme, vous pouvez utiliser des services de tunnelisation tels que Yeastar Linkus Cloud Service Pro (LCS Pro) ou le service d’accès distant (RAS) de Yeastar. Doté d’une technologie de cloud et de chiffrement de qualité industrielle, le service de tunnelisation de Yeastar crée une méthode plus sécurisée pour l’accès SIP distant du PBX et les communications professionnelles. Il évite non seulement le transfert de port du PBX, mais sécurise également le système avec un contrôle de permission granulaire. Vous pouvez décider quelles adresses IP et quels comptes d’extension sont autorisés à accéder à votre PBX à distance via le service, et quels services PBX sont autorisés pour un accès distant.
- Meilleur pratique 2
Bloquer l’accès non autorisé à votre PBX
Bloquer l’accès indésirable et non autorisé à votre PBX peut réduire considérablement la possibilité de piratage de votre système. Il s’agit d’une étape essentielle pour prévenir le piratage téléphonique et atténuer les dommages potentiels et les pertes financières pour votre entreprise.
a. Blacklist mondiale d’adresses IP anti-piratage
Le système téléphonique Yeastar P-Series est doté d’un programme de liste noire mondiale d’adresses IP anti-piratage, qui enregistre de manière centralisée un large éventail d’adresses IP bloquées par les PBX Yeastar dans le monde entier et soupçonnées d’activités malveillantes ou d’attaques.
La liste noire d’adresses IP est partagée entre tous les PBX Yeastar et mise à jour régulièrement chaque semaine pour inclure les nouvelles adresses IP malveillantes découvertes. Grâce à la liste noire mondiale d’adresses IP anti-piratage, toutes les connexions à votre PBX provenant des adresses IP figurant dans la liste noire seront automatiquement rejetées.
b. Restreindre l’accès au système depuis certains pays ou régions
Si vous constatez une augmentation des attaques sur votre PBX en provenance d’un pays ou d’une région spécifique, vous pouvez utiliser des restrictions géographiques (également appelées géo-blocage) pour empêcher les visiteurs situés dans ces emplacements géographiques d’accéder au PBX. En vérifiant l’adresse IP d’un visiteur par rapport à la base de données du PBX, l’accès non autorisé peut être refusé.
c. Restreindre l’accès au système avec des règles de pare-feu
Le système téléphonique Yeastar P-Series dispose de règles de pare-feu intégrées pour n’accepter que le trafic de confiance. Vous pouvez également créer des règles de pare-feu sur votre PBX pour autoriser ou bloquer le trafic provenant de certaines adresses IP/dessources, de ports ou d’adresses MAC spécifiques. Cela permet de bloquer automatiquement les accès suspects susceptibles de contribuer à des fraudes ou à des pertes d’appels.
Pour prévenir les tentatives massives de connexion ou les attaques par force brute, vous pouvez également utiliser la fonctionnalité IP-Auto-Defense intégrée au PBX pour définir le nombre autorisé de paquets IP dans un intervalle de temps spécifique. Si une adresse IP envoie des paquets IP dépassant cette limite, le système bloquera automatiquement cette IP.
Restreindre l'utilisation des appels sortants
Si des pirates parviennent à accéder aux identifiants des extensions, ils pourraient exploiter ces extensions pour passer des appels frauduleux à vos frais. Restreindre l’utilisation des appels sortants peut réduire les pertes financières potentielles pour votre entreprise en cas de fraude téléphonique.
- Meilleure Pratique 1 : Définir des règles pour les appels sortants
a. Différentes règles pour différentes périodes
Les tentatives de piratage ont généralement lieu en dehors des heures de travail, le week-end ou pendant les périodes de vacances lorsque le système est moins surveillé. Vous pouvez utiliser la fonctionnalité “Condition de temps” pour appliquer des règles différentes de restriction d’appels entrants ou sortants selon les périodes. Par exemple, vous pourriez créer une condition de temps appelée “Vacances” et désactiver les appels sortants pendant ces périodes en appliquant cette condition à une route sortante.
b. Permission uniquement pour ceux qui en ont besoin
Les employés de votre entreprise ont des rôles différents, et tous n’ont pas besoin de passer des appels longue distance ou internationaux. Configurez différentes routes sortantes pour différents types de communications (par exemple, locales, longue distance, et internationales), et attribuez les permissions d’accès aux routes sortantes uniquement aux utilisateurs qui en ont besoin.
c. Authentification par mot de passe
Configurez un mot de passe pour les routes sortantes afin d’exiger que les appelants saisissent un code PIN avant de pouvoir passer un appel sortant. Ce n’est qu’après avoir entré un code PIN valide que l’appel sera acheminé via la route sortante, ce qui permet d’éviter les fraudes, abus ou utilisations abusives. De plus, cela facilite le suivi de l’origine des appels sortants pour des audits ou d’autres besoins.
d. Appels internationaux uniquement vers des pays/régions de confiance et uniquement si nécessaire
Si votre entreprise est engagée dans des activités internationales et que vos employés doivent passer des appels internationaux, vous pouvez configurer la numérotation internationale sur le PBX. Cependant, cela expose votre système à la fraude téléphonique internationale et peut entraîner des pertes financières importantes.
Pour réduire le risque, limitez les préfixes des pays afin d’autoriser les appels internationaux uniquement vers les pays/régions nécessaires à vos activités. En parallèle, attribuez les permissions de numérotation internationale uniquement aux utilisateurs qui en ont besoin.
e. Limitation du nombre d’appels dans une période donnée
Lorsque des pirates infiltrent votre système téléphonique, ils peuvent accumuler des dizaines de milliers de dollars de frais en passant un grand volume d’appels. Il est recommandé de limiter le nombre d’appels sortants que les utilisateurs d’une extension peuvent effectuer dans une période de temps définie. Une fois la limite atteinte, tout appel sortant supplémentaire sera refusé.
f. Limite d’appels simultanés
Limiter le nombre d’appels sortants simultanés sur les trunks SIP permet non seulement de respecter certaines exigences de licence ou de facturation, mais surtout d’empêcher les pirates de générer un volume élevé d’appels sans restriction. Une fois le nombre d’appels simultanés spécifié atteint, tout nouvel appel tenté sera rejeté.
g. Déconnexion automatique avec minuterie d’appel
Mettez en place des restrictions sur la durée des appels au niveau du système ou pour des utilisateurs spécifiques d’extensions afin de terminer automatiquement les appels sortants lorsque la durée limite spécifiée est atteinte. Cela permet d’éviter les abus potentiels et de mieux contrôler les coûts des appels.
h. Plafond sur les factures téléphoniques
Les fournisseurs télécom protègent leurs clients contre les frais d’appels excessifs en fixant un plafond sur le montant des appels facturables qu’une entreprise peut accumuler. Contactez votre fournisseur pour limiter le montant du crédit et désactivez le rechargement automatique. Cela permettra de minimiser les pertes causées par une éventuelle fraude téléphonique.
Renforcer la sécurité des extensions SIP
Lorsque des extensions SIP sont compromises, le risque de perturbation est particulièrement élevé. Les criminels peuvent exploiter votre système téléphonique pour passer des appels et lancer d’autres attaques malveillantes. Appliquer une politique de mots de passe solides et imposer des restrictions sur l’enregistrement des extensions permettra de sécuriser les extensions SIP.
Meilleure Pratique 1 : Empêcher l’enregistrement non autorisé des extensions
Le système téléphonique Yeastar intègre une politique de verrouillage automatique des comptes pour empêcher l’accès non autorisé aux comptes d’extensions. Les comptes présentant un risque sont automatiquement verrouillés après un certain nombre de tentatives d’enregistrement échouées provenant de la même adresse IP.
En outre, plusieurs options sont disponibles pour renforcer la sécurité des enregistrements d’extensions :
- Utiliser des noms et mots de passe complexes pour l’enregistrement.
- Configurer un nom d’authentification complexe, totalement différent des noms par défaut, pour l’authentification.
- Restreindre l’enregistrement des extensions en fonction des chaînes d’agent utilisateur (user-agent strings).
- Limiter les adresses IP autorisées à enregistrer des extensions.
- Restreindre les enregistrements multiples sur la même extension.
- Meilleure Pratique 2 : Appliquer une authentification renforcée et un contrôle d’accès granulaire pour la connexion des extensions
Le système téléphonique Yeastar P-Series dispose d’une politique de verrouillage automatique des comptes pour empêcher l’accès non autorisé au PBX. Les comptes risqués sont automatiquement verrouillés après avoir atteint le nombre maximal de tentatives de connexion échouées. Plusieurs options permettent également d’améliorer la sécurité des connexions des extensions :
- Authentification à deux facteurs (2FA) : Exige une validation supplémentaire pour renforcer la sécurité.
- Authentification unique (SSO) : Simplifie et sécurise le processus de connexion en utilisant un seul identifiant.
- Gestion des rôles et des permissions des utilisateurs : Permet de définir des niveaux d’accès spécifiques selon les responsabilités des utilisateurs.
Comme son nom l’indique, cette nouvelle fonctionnalité permet aux utilisateurs d’extensions de sélectionner quel identifiant d’appelant sortant est affiché lors des appels sortants. Elle est prise en charge sur tous les clients Linkus (Web/PC/Mobile). Cette flexibilité est particulièrement utile pour les entreprises avec plusieurs départements ou marques, leur permettant de présenter les informations de contact les plus appropriées au destinataire de l’appel.
Meilleure Pratique 3 : Chiffrer les signaux SIP et les flux multimédias
Le système PBX Yeastar offre la possibilité d’ajouter une couche de chiffrement aux appels téléphoniques et aux flux multimédias des extensions SIP. Ce chiffrement peut être mis en œuvre à l’aide de deux protocoles standard d’internet :
- TLS (Transport Layer Security) : Un protocole cryptographique largement accepté qui garantit la confidentialité et la sécurité des données entre deux applications communicantes. Lorsque les signaux SIP sont chiffrés via TLS, les noms des utilisateurs et les numéros de téléphone sont protégés et ne peuvent pas être interceptés.
- SRTP (Secure Real-time Transport Protocol) : Un profil RTP (Real-time Transport Protocol) qui ajoute des mesures de sécurité supplémentaires, telles que l’authentification des messages, la confidentialité et la protection contre les répétitions. Avec SRTP activé, l’audio réel des appels et les flux vidéo sont chiffrés pour empêcher les interceptions et les écoutes clandestines.
Élaborer des plans de secours
Bien qu’une large gamme de mesures puisse être prise pour protéger votre PBX, la sécurité absolue n’existe pas. Si un attaquant parvient à infiltrer votre PBX ou à provoquer une panne, vous devez disposer d’un plan de secours.
Meilleure Pratique 1 : Mettre en place une surveillance, un journal et des alertes en temps réel sur les événements système
Exploitez les journaux d’événements pour surveiller et enregistrer les opérations anormales sur votre PBX, et abonnez-vous aux événements critiques. Lorsque quelque chose tourne mal, vous pouvez recevoir des notifications en temps opportun, identifier rapidement le problème et trouver une solution.
Si vous utilisez un système PBX Yeastar, vous pouvez effectuer une surveillance en temps réel sur les deux plateformes suivantes :
- Portail Administrateur PBX : Pour gérer un PBX unique.
- Yeastar Remote Management : Pour surveiller et gérer de manière centralisée de nombreux PBX installés sur site.
Meilleure Pratique 2 : Planifier des sauvegardes automatiques
Planifiez des sauvegardes régulières. Si votre PBX ne fonctionne plus, vous pourrez le réinitialiser et restaurer les configurations à partir d’un fichier de sauvegarde pour assurer une récupération rapide.
Stockez les sauvegardes dans des emplacements externes pour prévenir les risques de perte de données liés à une destruction physique ou à un vol.
Appliquez une politique de rétention des sauvegardes pour limiter la quantité de données historiques et obsolètes.
Meilleure Pratique 3 : Mettre en œuvre une solution de redondance
a. Mode “Hot Standby” pour le système PBX sur site (basé sur le matériel et les logiciels)
Le système PBX sur site de Yeastar est équipé gratuitement de la fonctionnalité “Hot Standby”, qui permet de créer une paire de serveurs miroir et de récupérer immédiatement en cas de panne. Pour déployer cette solution, vous aurez besoin de deux serveurs PBX identiques respectant les mêmes spécifications suivantes : Modèle de produit, Version du micrologiciel et du matériel, Configuration logicielle, Paramètres du réseau local (LAN) et Installation matérielle.
Avec la configuration “Hot Standby”, les éléments suivants peuvent être réalisés :
- Récupération automatique rapide (1 à 10 secondes) en cas de panne.
- Partage d’une adresse IP virtuelle entre les serveurs PBX actif et en veille, garantissant un basculement complet vers le serveur de secours (y compris les téléphones IP et les intégrations tierces).
- Notification instantanée par email ou appel lors d’un événement de basculement.
b. Haute disponibilité pour PBX Cloud
La fiabilité n’est pas une fonctionnalité du cloud, c’est une exigence. Déployé dans un environnement basé sur des clusters et géré par Yeastar, le service Yeastar Cloud PBX offre une haute disponibilité grâce à une configuration redondante, améliorant ainsi la reprise après sinistre, ce qui n’est pas le cas pour de nombreuses configurations cloud mono-instance.
- Les instances PBX sont déployées en paires primaire et secondaire (mode “Hot Standby”) pour permettre un basculement transparent.
- Un équilibrage actif/actif de charge est utilisé pour optimiser l’utilisation des ressources entre les serveurs SBC.
- Les serveurs sont hébergés par Amazon Web Services dans différentes régions du monde, renforçant la résilience du service.
- Des mécanismes de sécurité intégrés sont en place pour se protéger contre les attaques malveillantes.
c. Reprise après sinistre (Disaster Recovery)
La reprise après sinistre est un aspect crucial de tout système de communication moderne. Elle garantit la continuité des services téléphoniques en cas de catastrophe ou d’événement imprévu. Les utilisateurs de Yeastar Software PBX peuvent créer une réplique PBX sur un site de secours et assurer des services téléphoniques ininterrompus en cas de panne du site principal.
Les avantages clés de cette configuration géo-redondante incluent :
- Miroir des données en temps réel vers le site de secours, sans perte de données ni sauvegarde manuelle nécessaire.
- Détection et basculement automatiques des pannes, minimisant les temps d’arrêt en cas de calamité naturelle, panne de courant ou échec réseau.
- Service SD-WAN intégré pour un réseau sécurisé ou possibilité d’utiliser votre propre service VPN.
- Notification instantanée par appel ou email en cas de panne de serveur PBX ou de basculement automatique.
- Configuration extrêmement simple.
- Peut être combinée avec le mode “Hot Standby” (configuration redondante locale) pour atteindre un niveau de redondance encore plus élevé.
Solutions de sécurité Yeastar pour l'accès à distance et les communications PBX
Les fournisseurs de PBX ne peuvent jamais être trop prudents en matière de sécurité VoIP. Cela est particulièrement vrai lorsqu’il s’agit de l’accès à distance au système. Comment comprendre l’accès à distance ?
D’une part, les clients peuvent demander la possibilité d’accéder à leurs systèmes téléphoniques à distance via Internet. De telles connexions à distance sont pratiques et souvent nécessaires pour les voyageurs fréquents, ainsi que pour les sites ou employés géographiquement dispersés.
D’autre part, les fournisseurs de PBX peuvent avoir besoin d’établir une connexion à distance pour fournir une assistance technique, résoudre des problèmes réseau et régler les dysfonctionnements sans avoir à envoyer un technicien sur place.
Comme on le sait, les systèmes sur site sont souvent limités à un bureau physique. Traditionnellement, pour accéder à distance aux systèmes sur site, les fournisseurs de PBX doivent effectuer des réglages complexes sur le serveur PBX et le réseau, ce qui peut entraîner des risques de sécurité potentiels.
Yeastar cherchait la meilleure solution pour aider les utilisateurs de PBX sur site et logiciels à sécuriser leur accès à distance tout en simplifiant les configurations. Nous l’avons fait. Grâce aux services innovants de tunneling Yeastar et à l’outil Yeastar Remote Management, la connexion à distance est à un clic et présente le moins de préoccupations IT et de sécurité possibles.
Pour les utilisateurs finaux de PBX
Services de tunneling sécurisés pour les communications et collaborations professionnelles à distance
- Défi
Pour offrir un accès à distance aux utilisateurs mobiles et distants, la plupart des fournisseurs de PBX sur site recommandent généralement le Port Forwarding (redirection de port). Cependant, cela n’est pas une bonne idée du tout. La redirection de port nécessite des configurations complexes du serveur et du réseau. Pire encore, elle expose votre système à des risques d’attaques en ouvrant un port sur le pare-feu, permettant ainsi aux acteurs malveillants de prendre facilement le contrôle total du système téléphonique.
- Solution
Yeastar propose un service de tunneling innovant pour ses PBX sur site et logiciels, éliminant ainsi la nécessité de recourir à une redirection de port risquée, à une configuration de serveur compliquée ou à des problèmes fastidieux de NAT. Cela signifie que vous n’aurez plus à craindre d’exposer votre réseau interne au public, de perdre du temps avec des déploiements complexes ou de subir une qualité d’appel instable qui pourrait affecter vos communications professionnelles à distance.
Le meilleur dans tout cela ? Cela ne prend qu’un clic pour profiter de communications à distance sécurisées et sans tracas.
Le service de tunneling innovant est nommé différemment selon les séries de PBX Yeastar :
- Linkus Cloud Service Pro (LCS Pro) pour le PBX VoIP de la série S.
- Remote Access Service (RAS) pour le système téléphonique de la série P.
- Quelle est la sécurité de la solution ?
a. Connexion Séparée et Privée
Protégez votre entreprise des risques potentiels d’intrusion dans le réseau PBX et des problèmes connexes tels que la fraude au péage, les violations de données et les cyberattaques. Le service de tunneling de Yeastar utilise un serveur de tunneling comme intermédiaire pour la transmission des données entre le PBX et ses terminaux SIP distants.
- L’adresse IP de votre PBX ne sera pas exposée au public.
- Toutes les connexions à distance sont directes, discrètes et doublement sécurisées grâce à une authentification de compte.
b. Chiffrement Inviolable et Impénétrable
Toutes les transmissions entre le PBX et le serveur de tunneling sont chiffrées.
- Chaque PBX dispose de sa propre clé de chiffrement exclusive.
- Même si un hacker parvient à neutraliser le serveur de tunneling, il est extrêmement difficile de remplacer le service de tunneling ou d’accéder aux données de transmission d’origine, car celles-ci sont chiffrées
c. Autorisation d’Accès à Distance Par Service
Le service de tunneling Yeastar propose un contrôle d’accès avancé pour garantir une sécurité accrue :
- Vous pouvez autoriser ou bloquer l’accès à distance pour l’accès web, l’accès Linkus, les enregistrements SIP, LDAP et API.
- Il est possible de personnaliser les autorisations d’accès à distance par extension ou département.
- Vous pouvez également appliquer des restrictions IP pour renforcer la sécurité de tous les accès à distance.
Pour les revendeurs, MSPs et fournisseurs de PBX
Surveillance et gestion à distance des appareils
- Défis
En matière de support à distance, la plupart des fournisseurs de PBX recommandent soit d’installer un logiciel de bureau à distance (comme AnyDesk et TeamViewer) sur les ordinateurs, soit d’utiliser la redirection de port (Port Forwarding) pour le PBX. Cependant, ces deux méthodes laissent un port ouvert, ce qui peut être facilement exploité par des hackers.
De plus, des connexions à distance faibles peuvent permettre aux cybercriminels de pirater la session et d’accéder à l’ordinateur ou au système téléphonique du client.
- Solution
Proposée via la plateforme complète Yeastar Central Management, la solution Yeastar Remote Management permet aux partenaires Yeastar de gérer et configurer à distance les systèmes PBX et passerelles VoIP Yeastar des clients en toute sécurité.
- Sans nécessité de redirection de port ni VPN, elle offre :
- Une connexion à distance sécurisée et chiffrée pour les appareils.
- Une surveillance continue des systèmes à distance avec alertes en temps réel.
- Des configurations à distance basées sur des autorisations, garantissant une sécurité optimale.
Lorsque des problèmes sont détectés sur les appareils des clients, vous recevez des notifications immédiatement et pouvez agir rapidement, sans compromettre la sécurité du système.
- Quelle est la sécurité de la solution ?
a. Connexion à distance de niveau bancaire
Toutes les connexions à distance sont sécurisées par HTTPS et se déroulent dans un tunnel SSH chiffré afin de minimiser l’exposition du réseau et de mieux protéger l’intégrité et la confidentialité des données.
b. Authentification de connexion bidirectionnelle
Pour connecter des appareils Yeastar à distance, vous pouvez soit confirmer l’ID Yeastar sur le dispositif du client, soit vérifier le code d’authentification unique de la connexion à distance sur le dispositif du client. Ces deux méthodes d’authentification nécessitent une confirmation du client, empêchant ainsi les connexions malveillantes aux appareils Yeastar et les violations de données.
c. Contrôle d’accès basé sur les rôles
Ajoutez des comptes de collègues pour co-gérer les appareils des clients. En limitant les autorisations des comptes, vous pouvez assurer une gestion granulaire et garantir que l’accès aux appareils Yeastar à distance est restreint aux ingénieurs autorisés uniquement pour les opérations de maintenance.
d. Mécanisme de délai d’expiration d’accès à distance
Yeastar Remote Management offre un mécanisme robuste de délai d’expiration pour limiter le temps de configuration de chaque appareil Yeastar à distance. Cela signifie qu’après le temps configuré, l’URL permettant d’accéder à l’appareil Yeastar à distance devient invalide et l’accès est automatiquement terminé.
Réseaux Télécoms
Cloud Infrastructure
Cyber Sécurité
©Tous droits réservés CDX Telecom 2021 | Mentions légales | Conditions générales | Blog
