+7 843 2035737
WatsApp: +79656295719
331838986
 protelecom.kazan
позвонить с сайта
info@cwsl.ru

Главная / Публикации / Защищаем IP-АТС

Защищаем сервер IP-телефонии от внешних атак

IP-телефония (VoIP) находится в периоде бурного роста. Для любого предприятия внедрение IP-телефонии несет за собой массу преимуществ. Это и сокращение расходов на междугородние/международные переговоры, объединение территориально разнесенных офисов в одну телефонную сеть, передача голоса и данных по одним и тем же каналам связи, интеграция с приложениями и многое другое.

Основная проблема с безопасностью IP-телефонии в том, что она слишком открыта и позволяет злоумышленникам достаточно легко совершать атаки на ее компоненты.

IT-специалистам относительно долгое время не приходилось задумываться о безопасности своей сети IP-телефонии поскольку случаи таких нападений были крайне редки. Создавалось мнение, что такие атаки при желании могут быть реализованы, но вероятность атаки крайне мала.

Широкое развитие использования IP-телефонии привело к тому, что за последнее время участились случаи, когда злоумышленники используют уязвимости в настройках сервера IP-телефонии для совершения исходящих международных вызовов. Не секрет, что использование открытого ПО (IP-АТС Asterisk) несет за собой определенные риски, но эти же риски присущи и всем другим IP-АТС.

Рядовая хакерская атака лета 2012 года выглядят так: в ночное время ваш сервер IP-телефонии начинает совершать длительные исходящие вызовы на международные номера, используя все имеющиеся внешние линии. Как только разговор прерывается, под воздействием хакеров сервер IP-телефонии тут же инициирует следующий вызов. Сумма ущерба может составлять десятки тысяч рублей за ночь, направлением исходящих вызовов – номера с добавленной стоимостью в Латвии и Литве. И ваш оператор связи, конечно, потребует оплатить все эти телефонные соединения. Кому это выгодно? Подозреваю, что тем операторам связи, которые и предоставляют услуги дальней (международной) связи. Подозреваю, что найти виновного и наказать многим будет не под силу.

Технология хакерских атак типичная – сканирование порта 5060, попытка зарегистрироваться на сервере как внутренний пользователь и совершение исходящих вызовов. Для своих атак хакеры выбирают выходной или праздничный, а время – с часу ночи до пяти утра. Попытка регистрации, как правило, простая и без подбора пароля. В качестве параметров авторизации хакеры используют перебор номером 101, 102, 103, 104 и т.д. и 1001, 1002…

Защита VoIP соединений и сервера телефонии или IP-АТС от несанкционированного доступа лежит в зоне ответственности пользователя. Производитель не несет ответственности за несанкционированные соединения через телефонную станцию.

Так как защитить себя от возможных атак и финансовых потерь?

Защита на самом деле простая. Общий смысл защиты заключается в том, чтобы исключить возможность регистрации внутреннего абонента с внешней интернет сети на сервере телефонии. Если существует необходимость, чтобы внутренний абонент телефонии все же мог регистрироваться на сервере IP-телефонии с внешней интернет сети, то реализовывать такую возможность надо с использованием технологии VPN подключения.

Как мы это делаем для сервера телефонии Infinity.

Выполнение абсолютно всех мероприятий из этого перечня может показаться избыточным и это не удивительно, поскольку это избыточным и является. Вместе с тем, эта избыточность не ограничивая функциональные возможности комплекса, создает дополнительные рубежи защиты вашего сервера телефонии.

  1. IP-узлы, соответствующие устройствам IP-провайдер и IP-абоненты, создаем на разных IP-адресах. Разнесение разных IP-узлов по разным IP-адресам оправдано даже, несмотря на то, что Microsoft не рекомендует использования нескольких IP-адресов на одном интерфейсе.
  2. для IP-узлов, соответствующих устройствам IP-провайдер и IP-абоненты, используем непересекающиеся диапазоны портов. Например, для IP-узла, устройства IP-провайдер, диапазон портов 5000-5900, а для IP-узла IP-абонентов диапазон портов 7000-7900 с сигнальным портом 7060.
  3. Сервер IP-телефонии Infinity подключается к сети интернет только через маршрутизатор.
  4. На маршрутизаторе обеспечивается прямой проброс только сигнальных портов для IP-узлов, связанных с устройствами IP-провайдер.
  5. Голосовые порты, по которым идет голос, пробрасываются как триггерные порты.
  6. Все IP-адреса всех внутренних устройств явно указываются в разделе IP-абоненты.
  7. На IP-узлах, связанных с устройством IP-провайдер, в свойствах IP-узла устанавливается галочка «Игнорировать входящие регистрации».

Для защиты IP-АТС Агат UX достаточно выполнить элементарные правила обеспечения безопасности АТС:

  1. Не используйте логины и пароли по умолчанию для доступа к АТС .
  2. Не используйте совпадающие логины и пароли для абонентов SIP-прокси сервера.
  3. Для входящих и исходящих вызовов используйте разные таблицы маршрутизации.
  4. В таблицах маршрутизации для исходящей связи не указывайте ненужных направлений или общих шаблонов для всех вызовов.
  5. Используйте PIN коды доступа к конфигуратору или аппаратную защиту IP-АТС от доступа конфигуратором.
  6. Контролируйте количество и направления звонков проходящих через АТС посредством SMDR записей.
  7. Для абонентов встроенного SIP-прокси сервера рекомендуем установить один из предлагаемых вариантов аутетификации.
  8. В настройках SIP соединений не отключайте проверку пароля (персональный), Режим проверки пароля/Проверять у всех. Отключение проверки пароля позволит звонить через Вашу АТС всем SIP клиентам.
  9. Если вы в дереве конфигуратора в меню SIP/вкладка Общие/Способ маршрутизации поставили одну из ТМ, то лучше убрать из этой ТМ выход в город. В случае, если по каким-либо соображениям выход в город для этой ТМ должен присутствовать – настройте для этого соединения проверку АОНа и разрешение звонков только для определенных абонентов.
  10. По аналогии с предыдущим пунктом можно запретить исходящие звонки в ночное время суток и в выходные, что не позволит пустить трафик через АТС в нерабочие часы, пока Вы не имеете возможности контролировать соединения через АТС.

Дополнительные элементы защиты для всех устройств IP-телефонии

  1. Средствами сетевых маршрутизаторов и фаерволов запретите весь VoIP трафик со сторонних IP адресов.
  2. Для регистрации SIP абонентов используйте нестандартные порты, которые средствами NAT в ЛВС можно преобразовать в типовые порты для установки SIP соединений.


LiveZilla Live Help