Lo scenario globale impone, oggi più che mai, la massima allerta contro le minacce digitali. Per questo vediamo da vicino come funziona la blacklist IP globale del 3CX, uno strumento chiave nella lotta contro l’hacking. Ma prima ti ricordiamo che ICT Partner è Platinum Partner di 3CX, se vuoi avere maggiori informazioni visita questa pagina dedicata e non esitare a contattarci!
Come funziona la blacklist IP globale del 3CX?
La blacklist globale IP del 3CX è stata rilasciata per la prima volta con la versione 16 del centralino telefonico. E’ un database centrale di indirizzi IP inseriti nella blacklist dai sistemi 3CX. Ogni istanza che prende parte al programma di difesa globale anti-hacking del 3CX è parte di una comunità mondiale di server IP-PBX, dove tutti contribuiscono a mantenere gli hacker fuori dai sistemi critici.
Non appena un servizio SIP viene distribuito online utilizzando la porta predefinita 5060, sarà soggetto ad un attacco quasi immediato. La scansione SIP è costruita per cercare server o endpoint configurati con credenziali deboli. Avere la blacklist globale degli IP abilitata significa che una gran parte di questo traffico viene eliminato immediatamente.
Passo 1
Le nuove installazioni hanno la blacklist abilitata di default. Ogni sistema 3CX che ha l’opzione abilitata importa automaticamente la lista gestita da 3CX nella sua blacklist locale ogni 6 ore.
Passo 2
Anche le istanze riportano e contribuiscono alla lista globale pubblicando ogni nuovo evento di blacklisting che viene attivato localmente. Questo è principalmente dovuto a ripetute autenticazioni fallite su SIP o accesso web.
Passo 3
Questa è la caratteristica più importante del servizio. I team di sicurezza 3CX monitorano ogni nuovo indirizzo IP offensivo segnalato. Possiamo identificare i modelli di attacco, e decidere se bloccare l’indirizzo globalmente. Questo processo non è stato automatizzato completamente per assicurare che i server VoIP legittimi o i carrier non vengano bloccati, i team di sicurezza di 3CX effettuano diversi controlli manuali prima di aggiungere l’indirizzo IP alla blacklist.
Passo 4
In caso di attacco di hacking, gli amministratori dei server compromessi vengono contattati, in modo da poter mettere in sicurezza la loro macchina per rallentare l’attacco o la scansione.
Quanto è efficace?
A fine febbraio, la lista globale è cresciuta fino a includere circa 400.000 indirizzi IP. Di questi indirizzi, il tipico caso d’uso sono i server VPN e proxy, dietro i quali gli hacker lanciano scansioni SIP automatizzate e campagne.
La lista include anche molte macchine compromesse che vengono utilizzate come parte di scansioni distribuite da botnet. Vediamo regolarmente modelli di macchine come server di posta senza patch, apparecchi di rete e server di videosorveglianza utilizzati in questo modo.
Qualsiasi amministratore del 3CX che ha abilitato gli avvisi email per “L’IP è stato inserito nella blacklist” saprà che se la blacklist globale è disabilitata, questi avvisi email diventeranno ingestibili a causa dell’alto volume di eventi.