Sécurité

    Pour information, quelques paramètres de base à mettre en place pour la sécurité VOIP pour éviter au maximum les piratages :

     

    1)Application d'une stratégie de mot de passe complexe et aléatoire pour les accès pages web de TOUS les postes téléphoniques et DECT ainsi que le mot de passe SIP :

    - Il est fortement recommandé de changer le mot de passe après la première connexion.

    Pour modifier le mot de passe de l'utilisateur par défaut « admin », accédez à Maintenance🡪Paramètres de connexion🡪Modifier le mot de passe . La longueur du mot de passe doit être comprise entre 8 et 30 caractères.


    2)Mise en place de l'authentification 2FA sur PBX en local et sur la GDMS :


    L'UCM prend en charge la fonction d'authentification multifacteur qui ajoute une couche de sécurité en présentant un mot de passe à usage unique (OTP).

    Pour activer cette fonctionnalité, accédez à Maintenance🡪Gestion des utilisateurs.

    Cliquez ensuite sur le bouton modifier et activez la fonction « Authentification multifacteur » comme indiqué dans la capture d’écran ci-dessous :


    3) Paramètres de connexion :

    l'UCM peut bannir des utilisateurs après un nombre spécifié de tentatives de connexion infructueuses pendant une durée spécifiée.       Par défaut, les utilisateurs seront bannis pendant 5 minutes après 5 tentatives de connexion infructueuses.

    Si un utilisateur dépasse la limite de tentatives de connexion maximales (IP), son IP sera interdite d'accès à l'UCM. L'interdiction sera permanente si la période d'interdiction (m) est définie sur 0, ou temporaire pendant la durée spécifiée dans la période d'interdiction (m).

    4) Niveau de gestion des utilisateurs :

    Quatre niveaux de privilèges utilisateur sont actuellement pris en charge :

    • Super administrateur
    • Administrateur
    • Niveau personnalisé

    Le super administrateur a accès à toutes les pages de l'UCM et peut exécuter n'importe quelle opération.

    Donc attention à qui vous donnez ces informations de connexion. Dans le doute, créer un utilisateur avec des droits restreints.


    5) Mot de passe SIP

    Lors de la création d'une nouvelle extension SIP, l'administrateur UCM doit configurer le « Mot de passe SIP/IAX » qui sera utilisé pour l'authentification de l'enregistrement du compte.

    Si « Activer le mot de passe aléatoire » ( Paramètres PBX🡪Paramètres généraux ) est activé, « Mot de passe SIP/IAX » est automatiquement rempli avec un mot de passe sécurisé généré aléatoirement lors de la création de l'extension sur l'UCM.

    Vous pourrez changer ce mot de passe manuellement, mais attention à ce qu'il ne soit pas trop simple.


    6) Appels Internationaux :

    Les appels internationaux et longue distance non autorisés constituent un risque potentiel pour les trunks, qui peuvent entraîner des frais élevés inattendus.


    Les utilisateurs peuvent appliquer l’une des quatre mesures de sécurité sur l’UCM pour contrôler les appels sortants.

    1. Niveau de privilège
    2. Activer la liste blanche d'identification de l'appelant source
    3. Protection par mot de passe
    4. Groupes de PIN


    7)Ménage dans les extensions et les appareils sur GDMS et IPBX :

    Ne laissez pas d'extensions ni d'appareils GDMS inactif ou que ne sont plus attribués. 


    8)Mise a jour des produits en dernière version (UCM, Borne DECT Yealink, Poste GS, Poste Yealink)

    Les mises à jours des produits devrait être le premier réflex d'un installateur, elles permettent notamment le correctif de précédents bugs et/ou failles de sécurités.


    9)Activé Fail2ban :

    Fail2ban protège l'UCM en détectant les tentatives de connexion infructueuses et les requêtes SIP excessives et en bloquant toute autre tentative provenant du même hôte.

    Fail2Ban peut être configuré dans Paramètres système 🡪 Paramètres de sécurité 🡪 Fail2Ban . Par défaut, Fail2Ban est désactivé.


    Voici les champs à configurés selon vos besoins et votre de niveau de sécurité voulu :

    • Durée de l'interdiction : durée en secondes pendant laquelle un hôte est banni. Une valeur de « 0 » signifie une interdiction permanente. La valeur par défaut est fixée à 600 secondes.
    • Liste blanche Fail2ban : la liste des hôtes qui ne seraient pas mis sur liste noire même si le nombre de tentatives SIP et de connexion infructueuses dépasse la limite autorisée.
    • Liste de blocage : répertorie les adresses IP actuellement bloquées sur l'UCM par heure et type d'interdiction.

    au bout de 5 tentatives de connexion échoué l’adresse IP est blacklisté. (Renseigner en liste blanche les IP publique de certain utilisateur externes)


    10)Blocage horaire des appels (exemple entre 7h00 et 22h00 tous les jour)


    Autre :

    Si vous avez subit une cyberattaque et que des appels ont étais passé sur des numéros payants vers l'étranger, vous devez obligatoirement faire une demande de remplacement du mot de passe Trunk SIP. Pour cela envoyer un mail à votre fournisseur TRUNK SIP.

    Mettre en place un Firewall avec les bonnes règle NAT

    Ne pas utiliser les ports par défauts


    Publié