3CX 的安全性一直是我们的最重要的一环。这就是为什么每次发布新版本,我们都努力改进系统的核心要素,同时对新的全球威胁保持警惕。3CX全球IP黑名单是打击黑客的一个重要工具。但它是什么,它是如何工作的?
全球IP黑名单说明
3CX全球IP黑名单是在V16版中首次发布的。它是一个中央数据库,记录了被一个或多个3CX系统列入黑名单的IP地址。每一个参加3CX全球反黑客防御计划的实例都是全球IP-PBX服务器社区的一部分,都有助于防止黑客进入关键系统。
全球反黑客防御计划是如何运作的?
第一步
新安装的系统默认启用了黑名单。每个启用该选项的3CX系统每6小时将我们集中管理的名单导入其本地黑名单。
第二步
实例也通过发布本地触发的每一个新的黑名单事件来报告和贡献给全局名单。这主要是由于通过SIP或网络访问反复验证失败。
第三步
这是该服务最重要和最整洁的特点。3CX安全团队监测每一个新报告的违规IP地址。我们可以识别攻击模式,从而由人类决定是否在全球范围内阻止该地址。我们没有完全自动化这个过程是有原因的。为了确保合法的VoIP服务器或运营商不被封锁,我们的安全团队在将IP地址添加到黑名单之前会进行多次人工检查。
第四步
有时,我们会联系被攻击的服务器的管理员,让他们意识到他们的机器正在参与黑客攻击的尝试。这样,他们可以保护自己的机器,以减缓攻击或扫描。
成效如何?
在撰写本报告之日,全球名单已经增长到包括约40万个IP地址。在这些地址中,典型的使用情况是VPN和代理服务器,黑客在其背后发起自动SIP扫描和暴力攻击活动。
该名单还包括许多被入侵的机器,它们被用作僵尸网络分布式扫描的一部分。我们经常看到未打补丁的邮件服务器、网络设备和视频监控服务器等机器以这种方式被使用。
任何启用了 “一个IP被列入黑名单” 电子邮件警报的3CX管理员都知道,如果全局黑名单被禁用,这些电子邮件警报将因为大量的事件而变得难以管理。
为什么要打开它呢?
只要一个SIP服务使用默认的5060端口在线部署,它就会受到几乎直接的攻击。我们之前提到的SIP扫描是为了寻找配置有弱的证书的服务器或终端。启用全局IP黑名单意味着这种流量的很大一部分会被立即丢弃。
此外,任何收到IP黑名单电子邮件警报的管理员都会从平静的一天中受益。
现实世界的例子
请注意即将发表的一系列博客文章,其中包括一些更多的统计数据和黑客模式的细节。我们将介绍我们所看到的一些具体细节,以及你如何进一步保护你的3CX网络。