home *** CD-ROM | disk | FTP | other *** search

---

/ Cuteskunk BBS / cuteskunk.zip / cuteskunk / Text-Files / Network-Information-Access / nia_65.txt

< prev

next >

Wrap

Text File  |  2003-06-29  |  8KB  |  419 lines

---

1.  
2.  
3.    Founded By:    |  _                        _______
4.  
5.  Guardian Of Time |  __      N.I.A.   _      ___   ___  Are you on any WAN? are
6.  
7.    Judge Dredd    |  ____     ___    ___    ___     ___ you on Bitnet, Internet
8.  
9. ------------------+  _____    ___    ___    ___     ___  Compuserve, MCI Mail,
10.  
11.               /      ___ ___  ___    ___    ___________  Sprintmail, Applelink,
12.  
13.    +---------+       ___  ___ ___    ___    ___________    Easynet, MilNet,
14.  
15.    | 03NOV90 |       ___   ______    ___    ___     ___    FidoNet, et al.?
16.  
17.    | File 65 |       ___    _____    ___    ___     ___ If so please drop us a
18.  
19.    +---------+               ____     _     __      ___        line at
20.  
21.                               ___           _       ___ elisem@nuchat.sccsi.com
22.  
23.         Other World BBS        __
24.  
25.            Text Only            _    Network Information Access
26.  
27.                                        Ignorance, There's No Excuse.
28.  
29.  
30.  
31.                                  PBX Security
32.  
33.                                 by Judge Dredd
34.  
35.  
36.  
37.  
38.  
39. $_NOTE:
40.  
41. This is the PBX security manual... it is not a how-to.  This is what is given
42.  
43. to PBX owners/operators.  Use it to your advantage.
44.  
45.  
46.  
47.  
48.  
49. Protecting Your PBX From Illegal Access
50.  
51. =======================================
52.  
53.  
54.  
55. As an owner of a private branch exchange (or PBX) you've invested
56.  
57. quite a lot of money into a remarkable piece of equipment that greatly
58.  
59. enhances your company's communications capabilities. A so-called smart
60.  
61. device, this sophisticated switch usually has a number of useful
62.  
63. device, this sophisticated switch usually has a number of useful
64.  
65. features such as remote access and voice store-and-forward systems, or
66.  
67. voice mail.
68.  
69.  
70.  
71.      The problem is, criminals are finding it easier than ever to
72.  
73. access these helpful features, blocking out legitimate users.  This is
74.  
75. mainly because many end-users are not taking advantage of new
76.  
77. protective technologies that are now available.
78.  
79.  
80.  
81.    You may be a victim of this industry-wide problem and not even
82.  
83. know it. Last year, a Midwestern manufacturer lost $25,000 when
84.  
85. someone accessed its PBX for a short time to make unauthorized long
86.  
87. distance calls.
88.  
89.  
90.  
91. One favorite PBX pathway to free long distance calls is the
92.  
93. remote access unit, which allows callers to access the switch from a
94.  
95. phone outside the company and obtain a dial tone.
96.  
97.  
98.  
99.      The abuse is hitting end-users at all levels. Over a two- month
100.  
101. period in 1988, employees at a large city agency rigged a phone system
102.  
103. in a scam that cost taxpayers over $700,000 for unauthorized phone
104.  
105. calls. Workers tampered with the organization's PBX to allow callers
106.  
107. from public payphones to dial a special access number that gave them
108.  
109. an outside line to anywhere in the world.
110.  
111.  
112.  
113.     In another case, intruders left instructions on computer bulletin
114.  
115. board systems detailing how to access conference bridges, call
116.  
117. diverters and remote access units.
118.  
119.  
120.  
121.      Abusers can include current and former employees, summer interns
122.  
123. and technicians as well as hackers, street hustlers and other thieves
124.  
125. of telecommunications services.  And unfortunately, many companies
126.  
127. simply forget to take out the easy-to-break authorization test codes
128.  
129. that are installed before a PBX is placed in service.
130.  
131.  
132.  
133.  
134.  
135.                       Establish Strict Defenses
136.  
137.                       =========================
138.  
139.  
140.  
141. 1.   Assign authorization codes randomly on a need-to-have basis,
142.  
143.      and limit the number of calls using these codes. Never match
144.  
145.      codes with company telephone, station or badge numbers.
146.  
147.  
148.  
149. 2.   Instruct employees to safeguard their authorization codes,
150.  
151.      which should be assigned individually, not printed in
152.  
153.      billing records. And the codes should be changed frequently,
154.  
155.      and canceled when employees depart.
156.  
157.  
158.  
159. 3.   Remote access trunks should be limited to domestic calling
160.  
161.      and shut down when not in use.
162.  
163.  
164.  
165. 4.   Use the time-of-day PBX option.
166.  
167.  
168.  
169. 5.   Use a system-wide barrier code, followed by an authorization
170.  
171.      code with the most digits your PBX can handle.
172.  
173.  
174.  
175. 6.   Use a nonpublished number for remote access lines.
176.  
177.  
178.  
179. 7.   Use a delayed electronic call response (the same as letting
180.  
181.      your phone ring four or five times before answering).
182.  
183.  
184.  
185. 8.   Try hacking your own system to find weaknesses, then correct
186.  
187.      them.
188.  
189.  
190.  
191.  
192.  
193.                Implementing Effective Controls
194.  
195.                ===============================
196.  
197.  
198.  
199. 1.   Know the safeguards on your PBX.
200.  
201.  
202.  
203. 2.   Develop an action plan that provides adequate staffing to
204.  
205.      direct specific defensive procedures.
206.  
207.  
208.  
209. 3.   Monitor billing, call details and traffic for unusual
210.  
211.      patterns and busy lines during off-peak hours, such as late
212.  
213.      at night.
214.  
215.  
216.  
217. 4.   Inform PBX console attendants, night security officers and
218.  
219.      remote access users of the need to secure equipment and what
220.  
221.      to do if they suspect an intrusion.
222.  
223.  
224.  
225. 5.   Ask your PBX vendor/supplier what inherent defenses could be
226.  
227.      used to make your PBX more difficult to penetrate.
228.  
229.  
230.  
231. 6.   Monitor valid and invalid call attempts as often as
232.  
233.      possible.
234.  
235.  
236.  
237. 7.   Look for attempted calls of short duration that usually
238.  
239.      indicate hacking activity.
240.  
241.  
242.  
243. 8.   Know who is on the other end of the line before giving out
244.  
245.      any information.
246.  
247.  
248.  
249. 9.   Learn whom to contact at your local and long distance
250.  
251.      service providers when you have a security problem.
252.  
253.  
254.  
255.  
256.  
257.                             Glossary
258.  
259.                             ========
260.  
261.  
262.  
263. Access number: Preliminary digits that must be dialed to connect
264.  
265. to an outgoing line.
266.  
267.  
268.  
269. Authorization code: Unique multidigit code identifying an authorized
270.  
271. subscriber that must be validated for a call to be processed.
272.  
273.  
274.  
275. Barrier code: A number of digits that, when dialed before an
276.  
277. authorization code, allow dial entry to a PBX.
278.  
279.  
280.  
281. Bulletin board system: Computer-based message system.
282.  
283.  
284.  
285. Call detail recording: A PBX feature that logs outgoing and incoming
286.  
287. calls.
288.  
289.  
290.  
291. Conference bridge: Allows several parties to carry on a conversation
292.  
293. (Conference Call) from remote sites.
294.  
295.  
296.  
297. End-user: Subscriber that uses, rather than provides, telecommunications
298.  
299. services.
300.  
301.  
302.  
303. PBX, or private branch exchange A private switch, either automatic or
304.  
305. manually operated, serving extensions in a business complex and
306.  
307. providing access to the public switched network.
308.  
309.  
310.  
311. Remote access: A feature that allows an employee to access a PBX from
312.  
313. a remote site and charge calls to the caller's company.
314.  
315.  
316.  
317. Smart device:  A computer-based system that carries out complex functions.
318.  
319.  
320.  
321. Switch: A mechanical or solid state device that opens or closes
322.  
323. circuits, changes operating parameters, or selects paths or circuits,
324.  
325. either on a space or time division basis.
326.  
327.  
328.  
329. Time-of-day option: An added restriction to the automatic route
330.  
331. selection or least-cost options, it can be preset to block long
332.  
333. distance calls at certain hours.
334.  
335.  
336.  
337. Trunk: A communications channel between different switching systems or
338.  
339. between a PBX and a central office.
340.  
341.  
342.  
343. Voice mail: or voice store-and-forward systems: A voice message system
344.  
345. that allows messages to be played back when the addressee returns.
346.  
347.  
348.  
349.  
350.  
351.           Since 1985, CFCA has served as the industry's
352.  
353.          clearinghouse for information pertaining to
354.  
355.           the fraudulent use of telecommunications
356.  
357.           services. To learn more about PBX system
358.  
359.           security, call (703)848-9768, or write:
360.  
361.  
362.  
363.           The Communications Fraud Control Association
364.  
365.                7921 Jones Branch Drive, Suite 300
366.  
367.                        McLean, VA  22102
368.  
369.  
370.  
371.               eMail address:  < cfca@mcimail.com >
372.  
373.  
374.  
375.  
376.  
377. A short footnote:
378.  
379.  
380.  
381.     If you even >think< you have a problem with PBX Fraud, contact:
382.  
383.  
384.  
385.   1.  Your PBX Switching System Vendor
386.  
387.  
388.  
389.   2.  Your 'Local Exchange Carrier' ( Your local telephone company) and
390.  
391.  
392.  
393.   3.  Your 'Inter-Exchange Carrier' ( Your long-distance telephone company)
394.  
395.  
396.  
397.     If finding the >right person< gets to be a problem, contact the
398.  
399. Communications Fraud Control Association (CFCA) at the above address
400.  
401. or telephone them at (703) 848-9768.
402.  
403.  
404.  
405. ---
406.  
407.  
408.  
409. Enjoy.  Its early and it looks like it's gonna be a nice day... I'm outta
410.  
411. here. -JD
412.  
413.  
414.  
415.  
416.  
417. .
418.  
419.