Защищаем сервер IP-телефонии от внешних атак

Защищаем сервер IP-телефонии от внешних атак

lin2corenet_windows_7_firewall_control_351131_x32_x64_portable_rus_788087.jpegIP-телефония (VoIP) находится в периоде бурного роста. Для любого предприятия внедрение IP-телефонии несет за собой массу преимуществ. Это и сокращение расходов на междугородние/международные переговоры, объединение территориально разнесенных офисов в одну телефонную сеть, передача голоса и данных по одним и тем же каналам связи, интеграция с приложениями и многое другое.

Основная проблема с безопасностью IP-телефонии в том, что она слишком открыта и позволяет злоумышленникам достаточно легко совершать атаки на ее компоненты.



IT-специалистам относительно долгое время не приходилось задумываться о безопасности своей сети IP-телефонии поскольку случаи таких нападений были крайне редки. Создавалось мнение, что такие атаки при желании могут быть реализованы, но вероятность атаки крайне мала.


Широкое развитие использования IP-телефонии привело к тому, что за последнее время участились случаи, когда злоумышленники используют уязвимости в настройках сервера IP-телефонии для совершения исходящих международных вызовов. Эти риски присущи всем IP-АТС.


Рядовая хакерская атака лета 2012 года выглядят так: в ночное время ваш сервер IP-телефонии начинает совершать длительные исходящие вызовы на международные номера, используя все имеющиеся внешние линии. Как только разговор прерывается, под воздействием хакеров сервер IP-телефонии тут же инициирует следующий вызов. Сумма ущерба может составлять десятки тысяч рублей за ночь, направлением исходящих вызовов – номера с добавленной стоимостью в Латвии и Литве. И ваш оператор связи, конечно, потребует оплатить все эти телефонные соединения. Кому это выгодно? Подозреваю, что тем операторам связи, которые и предоставляют услуги дальней (международной) связи. Подозреваю, что найти виновного и наказать многим будет не под силу.


Технология хакерских атак типичная – сканирование порта 5060, попытка зарегистрироваться на сервере как внутренний пользователь и совершение исходящих вызовов. Для своих атак хакеры выбирают выходной или праздничный, а время – с часу ночи до пяти утра. Попытка регистрации, как правило, простая и без подбора пароля. В качестве параметров авторизации хакеры используют перебор номером 101, 102, 103, 104 и т.д. и 1001, 1002…


Защита VoIP соединений и сервера телефонии или IP-АТС от несанкционированного доступа лежит в зоне ответственности пользователя. Производитель не несет ответственности за несанкционированные соединения через телефонную станцию.


Так как защитить себя от возможных атак и финансовых потерь?

Защита на самом деле простая. Общий смысл защиты заключается в том, чтобы исключить возможность регистрации внутреннего абонента с внешней интернет сети на сервере телефонии. Если существует необходимость, чтобы внутренний абонент телефонии все же мог регистрироваться на сервере IP-телефонии с внешней интернет сети, то реализовывать такую возможность надо с использованием технологии VPN подключения.

Как мы это делаем для сервера телефонии Infinity



Выполнение абсолютно всех мероприятий из этого перечня может показаться избыточным и это не удивительно, поскольку это избыточным и является. Вместе с тем, эта избыточность не ограничивая функциональные возможности комплекса, создает дополнительные рубежи защиты вашего сервера телефонии.


  1. IP-узлы, соответствующие устройствам IP-провайдер и IP-абоненты, создаем на разных IP-адресах. Разнесение разных IP-узлов по разным IP-адресам оправдано даже, несмотря на то, что Microsoft не рекомендует использования нескольких IP-адресов на одном интерфейсе.
  2. для IP-узлов, соответствующих устройствам IP-провайдер и IP-абоненты, используем непересекающиеся диапазоны портов. Например, для IP-узла, устройства IP-провайдер, диапазон портов 5000-5900, а для IP-узла IP-абонентов диапазон портов 7000-7900 с сигнальным портом 7060.
  3. Сервер IP-телефонии Infinity подключается к сети интернет только через маршрутизатор.
  4. На маршрутизаторе обеспечивается прямой проброс только сигнальных портов для IP-узлов, связанных с устройствами IP-провайдер.
  5. Голосовые порты, по которым идет голос, пробрасываются как триггерные порты.
  6. Все IP-адреса всех внутренних устройств явно указываются в разделе IP-абоненты.
  7. На IP-узлах, связанных с устройством IP-провайдер, в свойствах IP-узла устанавливается галочка «Игнорировать входящие регистрации».

Для защиты IP-АТС Агат UX достаточно выполнить элементарные правила обеспечения безопасности АТС:

  1. Не используйте логины и пароли по умолчанию для доступа к АТС .
  2. Не используйте совпадающие логины и пароли для абонентов SIP-прокси сервера.
  3. Для входящих и исходящих вызовов используйте разные таблицы маршрутизации.
  4. В таблицах маршрутизации для исходящей связи не указывайте ненужных направлений или общих шаблонов для всех вызовов.
  5. Используйте PIN коды доступа к конфигуратору или аппаратную защиту IP-АТС от доступа конфигуратором.
  6. Контролируйте количество и направления звонков проходящих через АТС посредством SMDR записей.
  7. Для абонентов встроенного SIP-прокси сервера рекомендуем установить один из предлагаемых вариантов аутетификации.
  8. В настройках SIP соединений не отключайте проверку пароля (персональный), Режим проверки пароля/Проверять у всех. Отключение проверки пароля позволит звонить через Вашу АТС всем SIP клиентам.
  9. Если вы в дереве конфигуратора в меню SIP/вкладка Общие/Способ маршрутизации поставили одну из ТМ, то лучше убрать из этой ТМ выход в город. В случае, если по каким-либо соображениям выход в город для этой ТМ должен присутствовать – настройте для этого соединения проверку АОНа и разрешение звонков только для определенных абонентов.
  10. По аналогии с предыдущим пунктом можно запретить исходящие звонки в ночное время суток и в выходные, что не позволит пустить трафик через АТС в нерабочие часы, пока Вы не имеете возможности контролировать соединения через АТС.

Дополнительные элементы защиты для всех устройств IP-телефонии

  1. Средствами сетевых маршрутизаторов и фаерволов запретите весь VoIP трафик со сторонних IP адресов.
  2. Для регистрации SIP абонентов используйте нестандартные порты, которые средствами NAT в ЛВС можно преобразовать в типовые порты для установки SIP соединений.
    Автор статьи: Сахабутдинов Айрат, "Протелеком"
Нашли ошибку?
Выделите текст, нажмите Ctrl + Enter

Сообщение об ошибке

Адрес страницы *
Ошибочный текст *
Комментарий *
Защита от автоматического заполнения

Введите символы с картинки*

Дополнить статью

Адрес *
Ваше ФИО
Ваш Email
Текст дополнения *

Попробовать InfinitySmart бесплатно

Зарегистрируйтесь, чтобы получить доступ
к бесплатной версии на 14 дней

Заказ презентации

После отправки запроса наш менеджер свяжется с вами для демонстрации системы, рассчитает ее стоимость, ответит на вопросы