Sicurezza e Affidabilitá

Sicurezza e continuità: VoIP su sistemi LTS (non “fine vita”)

Patch regolari, backup testati, monitoraggio e hardening: la differenza tra un servizio professionale e un rischio operativo.

Richiedi una valutazione
Vedi la checklist

Perché “LTS & sicurezza” è un tema commerciale (prima che tecnico)

Quando un fornitore propone piattaforme End-of-Life (fuori supporto), non stai comprando “risparmio”: stai comprando rischio.

  • Meno fermi: aggiornamenti pianificati e rollback.
  • Meno vulnerabilità: patch di sicurezza e gestione CVE.
  • Meno responsabilità: processi chiari, log e tracciabilità.
  • Più fiducia: puoi chiedere “versioni, supporto, policy” e ricevere risposte verificabili.

Il nostro standard “minimo”

  • OS e componenti LTS / supportati
  • Patch e manutenzione programmata
  • Backup + ripristino testato
  • Monitoraggio e alerting
  • Hardening VoIP (SIP/RTP)

Non sono “extra”: sono la base per un servizio serio.

✅ Cosa ottieni

  • Continuità operativa e manutenzione controllata
  • Riduzione del rischio “buchi noti”
  • Ripristino rapido in caso di guasto
  • Trasparenza: processi e responsabilità

⚠️ Cosa eviti

  • Piattaforme fuori supporto (EOL)
  • Accessi “condivisi” e non tracciati
  • Backup “esistono ma non sono verificati”
  • Aggiornamenti fatti “a caso” quando si rompe qualcosa

Checklist: cosa chiedere al fornitore (in 3 minuti)

Se il fornitore è serio, risponde in modo chiaro e documentabile. Se “svicola”, è un segnale.

1) Quali versioni usate? Sono supportate (LTS)?
  • Versione sistema operativo + data fine supporto
  • Versione PBX/VoIP stack + policy upgrade
  • Dipendenze critiche (web panel, database, reverse proxy, ecc.)
2) Come gestite patch e vulnerabilità?
  • Finestra manutenzione programmata + comunicazione al cliente
  • Valutazione CVE (criticità, impatto, mitigazioni)
  • Rollback e piano d’emergenza
3) Backup e ripristino: avete prove?
  • Backup giornalieri + retention
  • Copie off-site e/o cifrate
  • Test di restore periodici (non “solo backup”)
4) Accessi e responsabilità: chi entra, come e quando?
  • Account nominativi, permessi minimi, log accessi
  • MFA dove possibile, password policy, rotazione credenziali
  • Procedure onboarding/offboarding

Se sei un responsabile IT / Sysadmin, qui trovi i dettagli tecnici e i criteri con cui validiamo un progetto VoIP in modo supportabile e sicuro nel tempo. Se non sei tecnico: puoi ignorare questa sezione, la sostanza è “no EOL, patching vero, backup verificati, accessi tracciati”.

Dettagli per IT / Sysadmin (facoltativo – clicca per leggere)

Stack e supporto: cosa significa “LTS” per noi
VoIP su sistemi LTS: stack supportato e versioni consigliate

Per “LTS” intendiamo: componenti supportate dal vendor, con ciclo di patch definito e upgrade pianificabili senza “salti nel vuoto”. È il prerequisito per poter garantire continuità, sicurezza e interventi rapidi.

Baseline di riferimento (produzione):

  • OS: Ubuntu Server 24.04 LTS (primario); alternative ammesse: Debian 12 / Debian 13
  • PHP: supporto solo da 8.2 in su (tipicamente 8.2 per FreePBX + 8.5 per applicativo dove serve).
  • DB: MariaDB 11.x LTS (raccomandato); nessun supporto sotto 10.6.
  • PBX: Asterisk 22 LTS con PJSIP obbligatorio; Chan_SIP non supportato
  • FreePBX: 16 (minimo) / 17 (dove previsto dal progetto).
  • NodeJS: v20+ per servizi realtime (WS/AMI/monitor).

Cosa NON accettiamo (perché non supportabile):

  • OS o stack EOL (es. Debian 10/11, Ubuntu 18.04/20.04).
  • PHP < 8.2, Asterisk < 20, Chan_SIP, DB obsoleti, ambienti senza patch regolari.

Nota “business”, ma tecnica:
Un sistema EOL non è “più economico”: è debito tecnico + rischio (niente patch, incompatibilità progressive, possibili ricadute GDPR/NIS2).

Sicurezza rete/VoIP: hardening essenziale
Hardening VoIP SIP/RTP: esposizione minima e protezioni anti abuso

Il VoIP è esposto a scanning, brute force e tentativi di abuso. L’hardening non è un’opzione: è ciò che evita incidenti e downtime.

Misure minime che adottiamo (o richiediamo):

  • Esposizione minima: solo porte necessarie, niente pannelli “aperti al mondo”.
  • Rate-limit / blocchi automatici su tentativi anomali (SIP e web).
  • Accesso PBX limitato a IP autorizzati (whitelist dove possibile).
  • Segmentazione consigliata (DMZ/VPN o rete segregata per servizi VoIP).
  • PJSIP obbligatorio: niente Chan_SIP (incompatibile con stack moderni).

Crittografia e accessi amministrativi
Accessi amministrativi tracciati e TLS/HTTPS per portali VoIP

La sicurezza pratica si gioca su due cose: cifratura corretta e accessi tracciabili. Se un fornitore non sa dirti “chi entra, come e cosa resta nei log”, è un red flag.

Standard minimi:

  • HTTPS obbligatorio su portali/pannelli con certificati validi.
  • TLS moderno (nel perimetro progetto: TLS 1.3 indicato come requisito).
  • Accesso SSH con chiavi (no password “comode” condivise).
  • Account nominativi e permessi minimi, log accessi e audit trail (quando applicabile).

Backup & Disaster Recovery (RPO/RTO)
Backup e disaster recovery VoIP: restore testato, RPO e RTO

“Fare i backup” non significa nulla se non esiste prova di ripristino. Noi ragioniamo sempre in RPO/RTO: quanto puoi perdere e in quanto tempo riparti.

Baseline operativa:

  • Backup giornalieri con retention definita.
  • Copie off-site e/o cifrate (in base al contesto).
  • Test di restore periodici: log/verbale del test (anche semplice, ma reale).
  • Definizione chiara di:
    RPO (dati massimi perdibili)
    RTO (tempo massimo di ripristino)

Perché lo pretendiamo:
Su sistemi EOL o “non patchati”, un incidente può diventare downtime prolungato e costi imprevedibili.

Monitoraggio e logging: cosa guardiamo davvero
Monitoraggio VoIP: servizi critici, log e alerting

Un servizio serio non aspetta che “ti accorgi” del problema. Serve monitoraggio e tracciabilità: disponibilità, performance (dove serve), e log utili a ricostruire cosa è successo.

Cosa monitoriamo / predisponiamo:

  • Disponibilità servizi + allarmi (e regole di escalation: chi viene avvisato e quando).
  • Eventi PBX rilevanti (registrazioni, trunk, errori, saturazioni) e integrabilità con servizi realtime dove previsti (Node/WS).
  • Log centralizzati e tracciabilità interventi (almeno per azioni amministrative).

Nota compatibilità client (pannelli/portali):
Chrome/Edge 120+, Firefox 115 ESR (browser vecchi = non supportati).

Vuoi verificare se la tua soluzione è “a rischio”?

Ti diciamo in modo diretto cosa va bene, cosa va migliorato e cosa è un campanello d’allarme (EOL, patch assenti, backup non testati). Senza fumo.

Parla con un tecnico