PDA

Voir la version complète : Les opérateurs deviennent de plus en plus frileux



hb22
28/11/2010, 03h11
Je ne savais pas ou poster ce message mais je voudrais vous faire part d'une mésaventure que je rencontre avec les opérateurs.
L'activité de piratage étant en recrudescence, les opérateurs se permettent d'envoyer des mails, ou même des courriers en recommandé, aux clients finaux avec un message de catastrophe qui a fait monter un vent de panique chez mes clients. J'en ai même un qui voulait remettre en service sont installation antérieure.
Ci dessous un exemple :

Cher client,

Suite à une recrudescence de piratages des installations téléphoniques de type IPBX OpenSource, nous avons identifié des failles sur certaines configurations d'équipements majoritairement sous Asterisk, 3CX, Trixbox etc....

Nous vous rappelons, que XXXXX met tout en œuvre sur son réseau pour garantir à ses clients l’intégrité et la sécurité des communications, mais la sécurisation de l’ensemble de la solution nécessite que la configuration des équipements réalisée par vos installateurs, intégrateurs respecte les règles de sécurité.

Pour pallier à ce problème, nous avons mis en place des restrictions d'appels sur une liste de destinations identifiées à risques. Cette restriction d'appels sera effective dans la nuit du vendredi 26 novembre.
Vous pouvez consulter la liste de destinations concernées par la restriction d'appels en cliquant sur le lien ci-dessous :

http://www.

Cependant, si vous le souhaitez, vous avez toujours la possibilité de lever cette restriction en faisant le demande auprès de votre installateur qui nous fera parvenir une attestation de demande.

Nous vous remercions pour votre compréhension et nous vous invitons à vous rapprocher de votre installateur pour plus d'informations

Le Support Technique


Pour l'instant trois opérateurs ont envoyé un message de ce type. Un a même conseillé au client de souscrire à une assurance spéciale !!!

La remarque générale de mes clients, et je les comprend, est :
"Vous nous avez fourni une installation téléphonique non sécurisée, pouvez nous sécuriser cette installation et nous faire une attestation nous l'indiquant."

Sur trois opérateurs un seul a testé les installations avant. Il a envoyé le message quand le port 5060 était ouvert.

Ce n'est pas facile de vendre de la téléphonie IP, mais si les opérateurs font ce type d'envoi de masse vers les clients cela va être encore plus difficile de crédibiliser nos installations. J'ai, à chaque fois appelé l'opérateur, qui ne voit pas le problème. Il n'ont même pas pensé contacter le revendeur ou faire un teste de sécurité avant d'envoyer ce type de message.

De plus, ces opérateurs bloquent les appels vers certaines destinations et donc il faut "demander l'autorisation". Pas très pratique.

Vous avez compris je suis un peu fâché.

fastm3
28/11/2010, 12h48
Pareil, j'ai recu ca. Et ca mets vraiment les installateurs dans une position tres inconfortable. En gros , l'operateur se deresponsabilise et en cas de soucis, mets tout du coté du client.
On le sait le risque 0 n'existe pas que ce soit avec asterisk , un acces net bancaire, un serveur sur internet, un PC vis a vis des virus...et il eut été appréciable que les operateurs mettent egalement en place des mesures de securités supplementaires de leut coté plutot que d'indiquer en gros en sous entendu, on bloque tout et si vous voulez utiliser nos services, soyez pret a payer des factures de plusieurs milliers d'euros car ca sera forcement un pb de securité de votre coté.

Maintenant c'est probablement aussi la faute a pas mal de personnes installant asterisk sans vraiment maitriser les implications securité. On ne le repetera jamais assez et sur le coup, c'est bien de le rappeler a toute personne voulant installer Asterisk. Il faut vraiment bien maitriser les aspects reseaux de base et aussi du dialplan asterisk pour ne pas faire de betises permettant des appels par un tiers.

Mais un client n'est pas à l'abri d'un trojan ou virus espion sur un pc ayant acces a l'interface d'admin par exemple. Difficile de faire quelque chose dans ce cas par exemple et pourtant peu d'operateurs ont des mesures pour parer le vol d'identifiants.

Plutot que ces messages alarmistes uniquement, il serait bon que tous les operateurs reflechissent a donner les outils aux clients de controler et limiter l'usage de son compte.

Je pense à par exemple:
- Historique des ips tentants une connection a leur compte.
- Possibilité de limiter l'usage des comptes a partir d'une liste d'ips facilement modifiable.
- Mail ou sms lors d'une connection a l'interface operateur.
- Plafond en euro d'usage journalier facilement changeable et accessible avec alerte lorsque qu'un seuil est atteint.
- Choix des destinations bloquées selectionnables par web facilement.

Avec ces simples mesures coté operateur , on eviterait pratiquement tout le temps toute "catastrophe" financiere pour le client et le rassurerait. ( plafond max notamment ). Certains ont quelques mesures ci-dessus mais je n'en connais aucun qui a implemente toutes celles-ci.
Bcp d'operateurs preferent se defausser sur le client...Le mail que tu cites en est un parfait exemple.
Fastm3.

therebel23
28/11/2010, 21h56
Salut,
oui on a eu quelques déboires avec un opérateur qui avait bloqué notre compte suite à un certain nombre d'appels successifs sans réponse (en fait il s'agissait de tests de notre part !!, et ça coutait 0 euro). Le problème c'est qu'un message vocal alarmiste était diffusé sur le trunk au client final, et ceci sans nous avertir (un petit mail aurait été bien).

Oui, le plafond en euro est très bien comme idée, mais je n'ai pas trouvé d'opérateur le faisant.

Donc je pense que je vais mettre en place un script (php ou autre allant requêter régulierement la base MySQL où se trouve le CDR pour alerter en cas d'activité anormale (trop de minutes sur portables / international / fixe sur un temps donné) avec alerte mail en cas de souci ..

_AK_
29/11/2010, 11h06
Mes clients ont reçu aussi en recommandé.



J'ai appelé l'opérateur en question pour discuter ce qui pouvait être fait.

ils m'ont proposer de me vendre une solution de firewall ou de vérifier que l'assurance couvrait ce genre de pb.

Si je prend leur solution de parefeu ils acceptent toute responsabilité en cas de hack. (mais en gros le parefeu bloque tout sauf local et vpn alors que j'ai des postes distants sans possibilité de mettre de vpn.)

Je leur ai aussi proposer de mettre des solutions de plafond et de reporting.

Ils vont voir ce qui peut être fait mais d'après eux ils sont juste la pour fournir les tuyaux. je trouve ca dommage.

comme j'ai les liens xdsl chez eux ils me proposent aussi gratuitement de restreindre les IPs accédants au liens.

Il y a beaucoups de protections que l'on peut mettre pour sécuriser son asterisk,
(pare feu n'autorisant que le nécéssaire, fail2ban, changement de port, mots de passe fort, diaplan bien concu,reporting....)
le risque ne sera cependant jamais de 0