Рекомендации по защите voip-оборудования от взлома

В комментариях к одному из постов я написал, что не сталкивался с перечнем правил по обеспечению безопасности для оконечного оборудования, на что получил справедливо негативные комментарии моих коллег в офлайне. Действительно в свое время мы делали памятку для пользователей наших услуг, которую я приведу здесь с любезного разрешения её автора.

Рекомендации по защите voip-оборудования от взлома.

Существует множество вариантов оконечного оборудования, используемого для подключения к провайдеру IP-телефонии. Общие рекомендации для всех типов оборудования:

• храните информацию о настройках учетных записей IP-телефонии (чаще всего это логин и пароль, необходимые для регистрации на SIP-сервере провайдера) в надежном месте;
• при изменении регистрационных данных старайтесь использовать для регистрации сложные пароли, состоящие из случайных не повторяющихся цифр и букв, длинной не менее 6 символов;
• убедитесь в необходимости доступа к мг/мн  связи. Если необходимости в звонках по междугородним и международным направлениям нет, лучше отключите данную услугу. Чаще всего при взломе злоумышленники осуществляют звонки именно по мг/мн направлениям.

Теперь рассмотрим наиболее часто используемые варианты оконечного оборудования и специфику их защиты от взлома.

1. Программный ip-телефон (софтфон).
Софтфон – программное обеспечение для персонального компьютера, предназначенное для осуществления голосовых и видео звонков через ip сеть.
Рекомендации по защите от взлома:

• Используйте антивирус с регулярно обновляемыми базами на компьютерах, где установлены программные телефоны;
• Отслеживайте и устанавливайте обновления используемой операционной системы, особенно устраняющие найденные уязвимости.
• Отслеживайте и устанавливайте обновления ip-телефона, особенно устраняющие найденные уязвимости.

2. Шлюз IP-телефонии.
Шлюз IP-телефонии - это устройство позволяющее конвертировать аналоговый сигнал от телефонного аппарата в цифровой вид и осуществлять его передачу по ip сети.
Рекомендации по защите от взлома:

• Необходимо обеспечить безопасность оборудования на физическом уровне. Доступ к оборудованию должны иметь только ответственные за него лица.
• Необходимо сменить пароли для доступа к оборудованию установленные по умолчанию.
• -Необходимо ограничить или при отсутствии необходимости полностью отключить доступ  из публичных ip сетей к  любым сервисам управления (Telnet, SSH, FTP, TFTP, HTTP и т.д.). Это можно сделать либо на самом шлюзе, либо на граничном маршрутизаторе локальной сети.
• Ограничьте доступ к открытым портам, оставив только необходимые сервисы. Ограничьте к ним доступ.
• Используйте не стандартные порты для сигнальных протоколов. В частности стандартным для протокола SIP является порт 5060, при сканировании сети в первую очередь ищут именно его. Попробуйте поменять его, допустим на 5059 или на 5061.
• Регулярно обновляйте прошивки на оборудовании. Рекомендуется следить за найденными уязвимостями и ошибками для оборудования, которое вы используете и своевременно обновлять программное обеспечение.

3. IP-АТС (IP PBX).
IP-PBX (чаще всего одна из реализаций Asterisk) – решение IP-телефонии с открытым или закрытым исходным кодом.  Для данного типа решений верны все рекомендации данные для шлюзов IP-телефонии. Однако помимо этого можно дать следующие рекомендации по защите от взлома:

• Используйте ограничение регистрации пользвателей. Если ваши абоненты имеют возможность регистрироваться на корпоративной IP PBX прямо из сети Интернет, не принимайте сообщения о регистрации REGISTER с любого IP адреса без необходимости. Следует ограничить список IP адресов, с которых могут регистрироваться пользователи. Желательно в подобных случаях использовать для доступа к корпоративной сети IP-телефонии защищенную сеть VPN.
• Обязательно включите логирование всех событий в системе и ведение журналов CDR. Регулярно занимайтесь анализом собранных данных. Желательно автоматизировать этот процесс. Это поможет выявить взлом более оперативно.
• Разрешите звонки по мг/мн направлениям только пользователям, которым они действительно необходимы.
• Ограничивайте число одновременных вызовов для учетных записей пользователей.
• Не оставляйте в системе настроек по умолчанию (пароли, внутренние номера, ip-транки).
• Установите и настройте приложения позволяющие автоматически детектировать и производить заданные действия при наступлении событий безопасности. Например fail2ban позволит заблокировать ip адреса с которых происходит сканирование вашей IP PBX.

Данные рекомендации позволят вам защититься от типовых атак и сохранить ваши нервы и деньги.
Надеюсь, что при использовании данного материала вы поставите ссылку на первоисточник.