Cartilha de Prevenção à Invasão de PABX. 1
Índice 1. Introdução... 3 2. Por que e como ocorre a invasão... 5 2.1. Através do acesso ao serviço com senha de proteção fraca ou inexistente... 5 2.2. Através do ataque originado pela internet/ip... 6 3. Como manter um ambiente seguro para as informações da empresa... 8 3.1. Senhas de proteção... 11 4. Quais são os papéis das operadoras... 13 5. O que fazer se o PABX for invadido... 14 5.1. Consequências da invasão no PABX... 14 6. Considerações finais... 16 7. Glossário... 17 2
1. Introdução O PABX é um equipamento que permite a interligação e o controle total das ligações internas e externas, onde cada usuário pode customizar suas configurações. Como todo PABX possui um sistema exposto ao mundo externo, é importante cuidar da segurança, para evitar possíveis invasões ao sistema por hackers e prejuízos à empresa. A invasão pode ocorrer quando pessoas mal-intencionadas invadem o PABX devido a falhas na proteção e configuração dos recursos: DISA - placa cuja função é atender chamadas externas dando tom de discagem para efetuar uma nova chamada pelo PABX. CORREIO DE VOZ - sistema de atendimento automático acessado por menu que grava recados. URA (Unidade de Resposta Audível) - aparelho utilizado por empresas de call center para seleção de opções no atendimento eletrônico e integrações com banco de dados. PABX Cliente Informações URA Transferência Atendente Banco de Dados CALLBACK - sua função é receber chamada externa, desconectá-la e retorná-la à pessoa de origem. 3
SIGA-ME - o hacker descobre um ramal desprotegido e usa essa facilidade para transferir as chamadas desse ramal para um telefone externo. CHANSPY - monitora em tempo real uma chamada. VOIP (Voice Over Internet Protocol) - tecnologia que usa a internet para fazer chamadas por uma conexão, e não por linha telefônica comum. RAMAIS IP - registro de ramais através de rede de dados. SOFTPHONE - programa que simula a utilização de aparelho SIP (Protocolos de Sinalização VOIP) através do computador. ATA (Adaptador de Telefone Analógico) - conecta um ou mais aparelhos telefônicos analógicos a uma rede VOIP. Correio de Voz Ramal IP Chanspy ATA VOIP PABX Callback IVR Softphone Siga-me DISA URA 4
2. Por que e como ocorre a invasão Os hackers e as operadoras clandestinas utilizam programas que geram repetidas chamadas para todos os ramais de PABX suscetível à invasão. Assim que descobrem algum ramal desprotegido, que complete chamadas de longa distância (DDD ou DDI) ou um IP válido na internet, o ataque é feito. Agora que você já sabe como o sistema de PABX pode ser invadido, veja como ocorre esse processo através do acesso à senha de proteção e à internet/ip. 2.1. Através do acesso a serviço com senha de proteção fraca ou inexistente DISA - é o principal acesso dos invasores na realização de chamadas. O PABX atende a chamada recebida com tom de discagem, e quem ligou digita o código de acesso e o número de destino. Correio de voz ou voice mail - ao ser acessado retorna a ligação com permissão total ao usuário, além de autorizar a criação de salas de conferência, chats, ramais virtuais, direcionamento de chamadas, escuta e exclusão de mensagens. Senha-padrão (Ex.: 1234) Correio de Voz Chamada Externa PABX Ramais URA e IVR - permite, através de ligações externas, o acesso ao código de chamada do tronco. Para isso, basta discar 0 ou 9 e realizar chamadas. CALLBACK - possibilita retornar a ligação dando tom de discagem, que o invasor utiliza para realizar chamadas externas. SIGA-ME - o hacker descobre um ramal desprotegido e usa essa facilidade para transferir as chamadas desse ramal para um telefone externo. 5
CHANSPY - se o PABX tem um sistema de freepbx (configura os arquivos textuais que o Asterisk utiliza) instalado e a função Chanspy não foi desativada, basta que o invasor digite o código para ouvir as ligações, podendo tirar proveito de assuntos confidenciais. 2.2. Através do ataque originado pela internet/ip VOIP - acesso por IP válido na internet que pode ser facilmente rastreado e invadido. Os acessos com maior volume de invasão são: porta de manutenção remota (IP válido) do PABX; entroncamento VOIP via internet utilizado para comunicação entre filiais; terminais com facilidades que utilizam a internet e IP válido; entre outros serviços associados. Acesso IP Válido Ramais Internet Modem Roteador VOIP PABX Manutenção Remota Filial Filial O&M (Sistema de Operações e Manutenção Técnica) - sem senha ou com senha-padrão de fábrica, conectados ao acesso remoto e/ou à rede Lan/internet, os O&Ms podem facilmente ser usados pelo invasor como acesso completo ao PABX. Ramais IP e Ramais Remotos - quando os ramais são expostos ou conectados à rede LAN com acesso à internet, são facilmente rastreados e clonados. Softphones, ATAs, Aparelhos SIP e Aparelhos Wi-fi - ficam expostos quando na programação local não ocorre a modificação da senha de configuração. Sniffer Sip - realiza o desenho da rede de voz SIP para identificar todos os parâmetros trafegados, inclusive senhas. O Sniffer Sip é usado para gravar chamadas que trafegam pela rede. É extremamente simples aplicar uma escuta telefônica em uma rede corporativa desprotegida. 6
Exploit - programa de computador que gera uma série de dados ou uma sequência de comandos, aproveitando-se da vulnerabilidade do sistema e formas de bruteforce (processo manual e automatizado que busca descobertas de senhas/logins), utilizado principalmente para protocolos SIP, IAX e H323 na tentativa de invasão em sistemas plugados à internet ou que possuam ramais remotos. Mesa Operadora com Acesso Irrestrito ao O&M - pode ser utilizada para reprogramar restrições sem autorização. Esse tipo de invasão é interna; somente ocorre externamente se a mesa em questão for IP. Discador - quando está conectado à internet pode ser invadido e programado para gerar chamada de callback com transferência. 7
3. Como manter um ambiente seguro para informações da empresa Saiba como prevenir invasões e proteger o PABX da sua empresa: Crie uma política de segurança e passe para todos os usuários, enfatizando a sua importância. Utilize mecanismo de controle de acesso remoto, como o Código de Autorização do PABX. Evite que o sistema de O&M esteja instalado junto com a rede de acesso à internet e de autenticação de ramais. Prefira a utilização de acesso dial-up (é o acesso ao sistema através da conexão discada via linha analógica ou ramal analógico), mantendo-o ligado apenas durante a programação do sistema. Não permita que a configuração do DISA autorize a realização de chamadas sem o uso de senha e procure sempre associar a senha ao ramal físico do usuário, facilitando a identificação da origem das chamadas. Restrinja o acesso remoto de Operações e Manutenção Técnica (O&M) somente a pessoas autorizadas. Compartilhe com elas a responsabilidade de manter em sigilo as senhas do sistema. Procure criar senhas de diferentes níveis para identificar, via logs, quem acessou o PABX. Consulte periodicamente a mantenedora e/ou o fabricante sobre atualizações de software e pacotes de segurança. Oriente as telefonistas/atendentes da empresa a não completar chamadas recebidas externamente para números externos. Mantenha um back-up de dados do PABX atualizado com o menor intervalo de tempo possível e/ou sempre que houver alteração de algum parâmetro no equipamento. Determine restrições de destinos por ramais, conforme o perfil do usuário (local, móvel, DDD e DDI). Restrinja a utilização de chamadas tronco-tronco (trata-se de chamadas procedentes de um tronco externo, pedindo autorização para realização de chamada em outro tronco externo). 8
Permita o recebimento de chamada a cobrar apenas para ramais estratégicos. Se possível bloqueie esse tipo de chamada para os ramais designados a correio de voz, placa DISA, URA, O&M, etc. Bloqueie ramais de correio de voz que possam originar chamadas externas. Acompanhe os destinos das chamadas nacionais e internacionais, o tempo médio dessas chamadas e as ocorrências de ligações a cobrar, comparando com o perfil histórico dessas chamadas. Permita a possibilidade de transferência de chamadas apenas a ramais predefinidos ou à telefonista. Se possível, bloqueie o código de acesso ao tronco externo ( 0 ou 9 ) em sistemas de Atendimento Automático (DISA, URA, IVR, etc.). Seja criterioso para disponibilizar aos funcionários acesso ao correio de voz da empresa, avalie de fato quem precisa dessa facilidade. Restrinja a facilidade de callback externa, liberando-a apenas para ramais de call center. Restrinja a conferência entre chamadas, conforme perfil do usuário. Impeça a transferência de chamadas recebidas na central de atendimento da empresa (0800) para outros departamentos (ramais) internos. Restrinja a facilidade de Siga-me externo para os ramais que realmente necessitam. Programe a Sinalização de Desconexão Forçada por tempo. Recomenda-se desconectar ligações com duração acima de 2 horas. Utilize redes privadas sem acesso à internet para registro de ramais remotos ou conexão com VOIP. Utilize sistemas de controle na administração de servidores de voz, por exemplo, o caso do SSH (programa de computador e protocolo de rede que permite a conexão entre computadores, de forma a executar comandos de uma unidade remota) para verificar mensagens ou assegurar os logs. Verifique se não existem tentativas de logon utilizando bruteforce ou técnica similar para SIP. 9
Garanta a distância entre a rede de telefonia e a rede de acesso à internet. Separe-as fisicamente ou sobre VLANs (rede local virtual) corretamente configuradas. Observe a questão do VLAN Hopping (método de atacar recursos de rede em uma VLAN) e também do Voip Hopper (framework que também executa testes para avaliar a insegurança de VLANs). Utilize firewalls, NAT, IPS e restrição de portas na autenticação de ramais, assim como restrição de acesso às configurações dos ATAs. Rede de Dados Internet Roteador Firewall Evite utilizar a rede de registro, verificando se está repetido. Cuidado com o redirecionamento de portas, como a liberação do freepbx para a internet. Utilize redes distintas e separadas para telefonia e para dados, inclusive com a utilização de Access Point (dispositivo em uma rede sem fio que realiza a interconexão entre todos os dispositivos móveis) distinto para solução wi-fi. Se possível, separe as redes efetivamente, de forma física, e não apenas utilizando subnets (divida uma rede em várias partes, aumentando assim o número de redes e diminuindo o número de hosts) distintas. Utilize sistema de provisioning para configurar os ATAs/ramais IPs ativos em rede privada. Caso o ATA/ramal IP esteja exposto na internet, a configuração deve ser individual, evitando a exposição da senha de conta SIP. 10
Utilize sempre IPS (Intrusion Prevention System) para garantir a segurança e aplique quarentena em endereços IP com números excessivos de tentativa de logon. Não exponha os ramais (SIP/IAX/H323) na internet (fixa ou móvel). Se o fizer, procure utilizar tunelamento VPN com autenticação de senha para inibir a exposição do endereçamento IP. Cliente VPN Túnel Protocolo de Tunelamento ISP Informação Encapsulada Rede Pública Servidor VPN Rede de Destino 3.1. Senhas de proteção A senha serve para autenticar um usuário. Qualquer pessoa que possua a senha de programação do PABX terá acesso às suas facilidades e poderá utilizá-la para outros fins. Para maior segurança, limite o acesso à senha de programação do PABX a todas as funções e facilidades do sistema e siga as dicas abaixo: Troque a senha de todos os recursos (correio de voz, URA, cadeado eletrônico, DISA, etc.) periodicamente, a cada dois ou três meses, para assegurar um ambiente mais seguro. Nunca use senhas de fácil memorização, como o número do ramal, senhas sequenciais, datas e/ou nomes conhecidos. Nunca utilize a senha-padrão do sistema, troque-a sempre. Procure usar senhas até mesmo em ramais de fax e salas de reunião, evitando a invasão interna desses ramais. 11
Altere as senhas sempre que ocorrer troca de pessoal responsável pela manutenção e operação dos equipamentos PABX. Modifique as senhas dos ATAs e Softphones, mesmo que esses tenham sido fornecidos por provedores VOIP. Existem equipamentos que possuem pacotes de segurança que forçam a troca de senha periodicamente. 12
4. Quais são os papéis das operadoras A Anatel cobra eficiência das operadoras nas chamadas completadas. A equipe de análise de risco, através da pré-fatura, trabalha na análise de chamadas para países suspeitos e notifica o cliente no caso dessa ocorrência. Devido ao acordo de interconexão entre operadoras, as chamadas DDD/DDI de fixo e móvel podem aparecer na fatura em até 90 dias a partir da execução da chamada. Em caso de dúvida, solicite uma análise de contas telefônicas de sua empresa. 13
5. O que fazer se o PABX for invadido Desconecte imediatamente o PABX da rede de dados exposta na internet. Acione imediatamente o mantenedor. Bloqueie ou desligue os ramais designados a correio de voz, DISA, placa atendedora, URA,VOIP, etc. Bloqueie todos os acessos a chamadas internacionais no seu equipamento. Se possível, desconecte os provedores VOIP do sistema. Verifique se não existem backdoors (programas que instalam um ambiente de serviço em um computador, tornando-o acessível a distância, permitindo o controle remoto da máquina sem que o usuário saiba), observando quais portas precisam realmente ficar abertas no servidor e firewall. Verifique se a empresa possui um script para reiniciar o PABX. Carregue o último backup seguro do sistema. Faça um boletim de ocorrência na delegacia de crimes cibernéticos. Mantenha o sistema em observação, até que haja garantia da segurança. 5.1. Consequências da invasão no PABX Utilização do PABX para efetuar ligações sem o conhecimento da empresa, gerando faturas com custos elevados. Divulgação de mensagens falsas (chat). Destruição ou visualização de dados confidenciais. 14
Criação de ramais virtuais (ramais que possuem posição lógica, mas não existem fisicamente) e salas de distribuição de chamadas. Risco de paralisação do PABX, gerando desprogramação e transtornos para a empresa. Acesso ao sistema PABX por pessoas não autorizadas que fazem uso de atividades ilícitas, escondendo sua real identidade e localização. Modificação de facilidades no PABX. Criação de salas de conferência, utilizando a memória do PABX. Aumento do tempo de utilização da linha e, consequentemente, aumento na fatura. As chamadas geradas através da invasão do equipamento serão devidamente cobradas. 15
6. Considerações finais Segurança é um item muito importante em ambientes com PABX instalado. Por isso, faça com que sua empresa utilize os mecanismos de proteção e guias com as Melhores Práticas dos próprios sistemas. Tanto o PABX convencional quanto o VOIP podem ser muito seguros se utilizados em uma rede privada. Fique atento aos pequenos detalhes da implantação e sempre avalie como o invasor/fraudador pode usufruir o ambiente de comunicação de sua empresa, utilizando ferramentas para impedi-lo. 16
7. Glossário ACCESS POINT ou AP (Ponto de Acesso): dispositivo em uma rede sem fio que realiza a interconexão entre todos os dispositivos móveis. ACESSO DIAL-UP: acesso ao sistema por meio de uma conexão discada via analógica ou ramal analógico. BACKDOORS: programas que instalam um ambiente de serviço em um computador, permitindo o controle a distância da máquina sem que o usuário saiba. BRUTEFORCE: processo manual e automatizado que busca descobertas de senhas/logins. CHAT: sala de bate-papo. EXPLOIT: programa de computador que gera uma série de dados ou uma sequência de comandos, aproveitando-se da vulnerabilidade do sistema. FREEPBX: tem a função de configurar os arquivos textuais que o Asterisk utiliza. RAMAIS VIRTUAIS: ramais que possuem posição lógica, mas não existem fisicamente. SIP, IAX e H323: protocolos de sinalização VOIP. SNIFFER SIP: realiza tracer na rede de voz SIP para identificar todos os parâmetros trafegados, inclusive senhas. SSH (Secure Shell): programa de computador e protocolo de rede que permite a conexão entre computadores de forma a executar comandos de uma unidade remota. VLAN: rede local virtual. VLAN Hopping: método de atacar recursos de rede em VLAN. 17
Voip Hopper: framework que também executa testes para avaliar a insegurança de VLANs. Wi-fi: termo para se referir a redes sem fio baseadas no padrão IEEE 802.11. Subnets (Sub-rede): quando se divide uma rede em várias partes, aumentando assim o número de redes e diminuindo o de hosts. 18