Основная проблема с безопасностью IP-телефонии в том, что она слишком открыта и позволяет злоумышленникам достаточно легко совершать атаки на ее компоненты.
IT-специалистам относительно долгое время не приходилось задумываться о безопасности своей сети IP-телефонии поскольку случаи таких нападений были крайне редки. Создавалось мнение, что такие атаки при желании могут быть реализованы, но вероятность атаки крайне мала.
Широкое развитие использования IP-телефонии привело к тому, что за последнее время участились случаи, когда злоумышленники используют уязвимости в настройках сервера IP-телефонии для совершения исходящих международных вызовов. Эти риски присущи всем IP-АТС.
Рядовая хакерская атака лета 2012 года выглядят так: в ночное время ваш сервер IP-телефонии начинает совершать длительные исходящие вызовы на международные номера, используя все имеющиеся внешние линии. Как только разговор прерывается, под воздействием хакеров сервер IP-телефонии тут же инициирует следующий вызов. Сумма ущерба может составлять десятки тысяч рублей за ночь, направлением исходящих вызовов – номера с добавленной стоимостью в Латвии и Литве. И ваш оператор связи, конечно, потребует оплатить все эти телефонные соединения. Кому это выгодно? Подозреваю, что тем операторам связи, которые и предоставляют услуги дальней (международной) связи. Подозреваю, что найти виновного и наказать многим будет не под силу.
Технология хакерских атак типичная – сканирование порта 5060, попытка зарегистрироваться на сервере как внутренний пользователь и совершение исходящих вызовов. Для своих атак хакеры выбирают выходной или праздничный, а время – с часу ночи до пяти утра. Попытка регистрации, как правило, простая и без подбора пароля. В качестве параметров авторизации хакеры используют перебор номером 101, 102, 103, 104 и т.д. и 1001, 1002…
Защита VoIP соединений и сервера телефонии или IP-АТС от несанкционированного доступа лежит в зоне ответственности пользователя. Производитель не несет ответственности за несанкционированные соединения через телефонную станцию.
Так как защитить себя от возможных атак и финансовых потерь?
Защита на самом деле простая. Общий смысл защиты заключается в том, чтобы исключить возможность регистрации внутреннего абонента с внешней интернет сети на сервере телефонии. Если существует необходимость, чтобы внутренний абонент телефонии все же мог регистрироваться на сервере IP-телефонии с внешней интернет сети, то реализовывать такую возможность надо с использованием технологии VPN подключения.
Как мы это делаем для сервера телефонии Infinity
Выполнение абсолютно всех мероприятий из этого перечня может показаться избыточным и это не удивительно, поскольку это избыточным и является. Вместе с тем, эта избыточность не ограничивая функциональные возможности комплекса, создает дополнительные рубежи защиты вашего сервера телефонии.
- IP-узлы, соответствующие устройствам IP-провайдер и IP-абоненты, создаем на разных IP-адресах. Разнесение разных IP-узлов по разным IP-адресам оправдано даже, несмотря на то, что Microsoft не рекомендует использования нескольких IP-адресов на одном интерфейсе.
- для IP-узлов, соответствующих устройствам IP-провайдер и IP-абоненты, используем непересекающиеся диапазоны портов. Например, для IP-узла, устройства IP-провайдер, диапазон портов 5000-5900, а для IP-узла IP-абонентов диапазон портов 7000-7900 с сигнальным портом 7060.
- Сервер IP-телефонии Infinity подключается к сети интернет только через маршрутизатор.
- На маршрутизаторе обеспечивается прямой проброс только сигнальных портов для IP-узлов, связанных с устройствами IP-провайдер.
- Голосовые порты, по которым идет голос, пробрасываются как триггерные порты.
- Все IP-адреса всех внутренних устройств явно указываются в разделе IP-абоненты.
- На IP-узлах, связанных с устройством IP-провайдер, в свойствах IP-узла устанавливается галочка «Игнорировать входящие регистрации».
Для защиты IP-АТС Агат UX достаточно выполнить элементарные правила обеспечения безопасности АТС:
- Не используйте логины и пароли по умолчанию для доступа к АТС .
- Не используйте совпадающие логины и пароли для абонентов SIP-прокси сервера.
- Для входящих и исходящих вызовов используйте разные таблицы маршрутизации.
- В таблицах маршрутизации для исходящей связи не указывайте ненужных направлений или общих шаблонов для всех вызовов.
- Используйте PIN коды доступа к конфигуратору или аппаратную защиту IP-АТС от доступа конфигуратором.
- Контролируйте количество и направления звонков проходящих через АТС посредством SMDR записей.
- Для абонентов встроенного SIP-прокси сервера рекомендуем установить один из предлагаемых вариантов аутетификации.
- В настройках SIP соединений не отключайте проверку пароля (персональный), Режим проверки пароля/Проверять у всех. Отключение проверки пароля позволит звонить через Вашу АТС всем SIP клиентам.
- Если вы в дереве конфигуратора в меню SIP/вкладка Общие/Способ маршрутизации поставили одну из ТМ, то лучше убрать из этой ТМ выход в город. В случае, если по каким-либо соображениям выход в город для этой ТМ должен присутствовать – настройте для этого соединения проверку АОНа и разрешение звонков только для определенных абонентов.
- По аналогии с предыдущим пунктом можно запретить исходящие звонки в ночное время суток и в выходные, что не позволит пустить трафик через АТС в нерабочие часы, пока Вы не имеете возможности контролировать соединения через АТС.
Дополнительные элементы защиты для всех устройств IP-телефонии
- Средствами сетевых маршрутизаторов и фаерволов запретите весь VoIP трафик со сторонних IP адресов.
- Для регистрации SIP абонентов используйте нестандартные порты, которые средствами NAT в ЛВС можно преобразовать в типовые порты для установки SIP соединений.