3CX's globale IP-Blacklist für maximale Sicherheit

3CX Globale IP-Blacklist: Standardmäßige Sicherheit

Posted on March 1st, 2022 by Corina Werner, Marketing Manager - DACH

Die Sicherheit unserer Produkte ist für uns von größter Bedeutung. Deshalb sind wir bestrebt, mit jeder neuen Version die Kernelemente des Systems zu verbessern und gleichzeitig wachsam gegenüber neuen globalen Bedrohungen zu bleiben. Hierbei ist die globale IP-Blacklist von 3CX ein wichtiges Instrument im Kampf gegen Hackerangriffe. Aber was verbirgt sich dahinter und wie funktioniert diese?

Was steckt hinter unserer Global IP Blacklist?

Die globale IP-Blacklist von 3CX wurde erstmals mit Version 16 veröffentlicht. Es handelt sich hierbei um eine zentrale Datenbank mit IP-Adressen, welche von einem oder mehreren 3CX-Systemen auf die Sperrliste gesetzt wurden. Jede Instanz, die am globalen Anti-Hacking-Programm von 3CX teilnimmt, ist somit Teil einer weltweiten Gemeinschaft von IP-Telefonie-Servern, welche allesamt dazu beitragen, Hacker von kritischen Systemen fernzuhalten.

Wie funktioniert das globale Anti-Hacking-Abwehrprogramm?

Schritt 1

Bei Neuinstallationen ist die Blacklist standardmäßig aktiv. Alle 3CX-Systeme, bei denen diese Option aktiviert ist, importieren alle 6 Stunden unsere zentral verwaltete Liste in ihre lokale Blacklist.

Schritt 2

Darüber hinaus melden die Instanzen jedes neue Sperr-Ereignis, das lokal ausgelöst wird, und tragen so zur kontinuierlichen Erweiterung unserer globalen Liste bei. Mehrheitlich lassen sich diese Sperrungen auf wiederholt fehlgeschlagene Authentifizierungen über SIP oder Webzugriff zurückzuführen.

Schritt 3

Kommen wir zur wichtigsten und gleichzeitig praktischsten Funktion des Dienstes. Da die Sicherheitsteams von 3CX jede neu gemeldete IP-Adresse prüfen, können wir Angriffsmuster erkennen, die zu einer Entscheidung darüber führen, ob die Adresse global gesperrt werden soll. Aus gutem Grund haben wir diesen Prozess nicht vollständig automatisiert. Wir stellen sicher, dass legitime VoIP-Server oder Anbieter nicht blockiert werden, indem unsere Sicherheitsteams mehrere manuellen Prüfungen durchführen, bevor eine IP-Adresse in die Blacklist aufgenommen wird.

Schritt 4

Manchmal wenden wir uns an die Administratoren von kompromittierten Servern, um sie darauf aufmerksam zu machen, dass ihre Rechner an Hacking-Versuchen beteiligt sind. Auf diese Weise können sie ihren Rechner absichern, um den Angriff oder Scan zu verlangsamen.

Wie effektiv ist diese Sperrliste?

Zum Zeitpunkt der Verfassung dieses Beitrags umfasst die globale Liste etwa 400.000 IP-Adressen. Der typische Anwendungsfall für diese Adressen sind VPN- und Proxy-Server, hinter denen Hacker automatische SIP-Scans und Brute-Force-Kampagnen starten.

Die Liste enthält auch viele kompromittierte Rechner, die für verteilte Botnet-Scans verwendet werden. Regelmäßig müssen wir feststellen, dass Rechner wie ungepatchte Mailserver, Netzwerkgeräte oder Videoüberwachungsserver auf diese Weise genutzt werden.

3CX-Administratoren, die unsere E-Mail-Benachrichtigungen für die Meldung über eine zur Sperrliste hinzugefügten IP aktiviert haben, wissen, dass diese Benachrichtigungen bei Deaktivierung der globalen Blacklist aufgrund der hohen Anzahl von Ereignissen schnell unüberschaubar werden können.

Warum also die IP-Blacklist aktivieren?

Sobald ein SIP-Dienst über den Standard-Port 5060 online geschaltet wird, ist er nahezu unmittelbar Angriffen ausgesetzt. Das bereits erwähnte SIP-Scanning ist darauf ausgelegt, nach Servern oder Endpunkten zu suchen, die mit schwachen Anmeldeinformationen konfiguriert sind. Mit der Aktivierung der globalen IP-Blacklist kann ein großer Teil dieses Datenverkehrs sofort unterbunden werden.

Und jeder Administrator, der die E-Mail-Benachrichtigungen über ein Blacklisting erhält, verbringt einen ruhigen Tag.

Beispiele aus der Praxis

Seien Sie gespannt auf eine Reihe in Kürze folgender Blogbeiträge mit weitere Statistiken und Details zu Hacking-Mustern. Dabei werden wir auf einige Besonderheiten eingehen, die wir beobachtet haben, und Ihnen weitere Tipps geben, wie Sie Ihr 3CX-Netzwerk weiter schützen können.