¬аш вопрос св€зан с хэштэгами #“елефони€, #FreePBX и Asterisk, #ѕолезные советы? —просите в Telegram!

ћерион Ќетворкс

¬ сегодн€шней статье поговорим о том, как защитить IP-ј“— от несанкционированного доступа и дадим несколько простых советов, следу€ которым, можно существенно повысить безопасность вашей телефонной станции. ѕримеры, которые будут приведены в данной статье, относ€тс€ к IP-ј“— на базе Asterisk, однако многие из них распростран€ютс€ на все без исключени€ VoIP-ј“—.

ƒл€ начала, давайте разберЄмс€, чем же гроз€т УдырыФ в безопасности и какие последстви€ гроз€т бизнесу, если злоумышленник получит доступ к IP-ј“—.


”гроза взлома

¬ отличие от взлома персонального компьютера или почты, взлом ј“— Ц это бесплатные дл€ взломщика звонки, за которые придетс€ заплатить владельцу ј“—. »звестно немало случаев, когда хакеры тратили колоссальные суммы, провед€ на взломанной ј“— всего несколько часов.

 ак правило, цел€ми злоумышленников станов€тс€ IP-ј“—, которые доступны из публичной сети. »спользу€ различные SIP-сканнеры и исследу€ системные у€звимости, они выбирают места дл€ атаки. ƒефолтные (default) пароли, открытые SIP-порты, неправильно управл€емый firewall или его отсутствие - всЄ это может стать причиной несанкционированного доступа.

  счастью, все эти у€звимости можно устранить и причЄм совершенно бесплатно.


ѕростые шаги к повышению безопасности

  1. ѕервое правило, которое необходимо соблюдать Ц это не афишировать адрес своей IP-ј“— и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. –азумеетс€, это правило распростран€етс€ и на физический доступ к серверу, на котором установлена IP-ј“—.
  2. ¬торое и самое очевидное Ц не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать Ц У1234Ф, УadminФ, УpasswordФ, название компании и так далее.
    ќдной из самых распространЄнных ошибок, €вл€етс€ создание внутренних номеров (Extension), у которых и номер и пароль совпадают. ¬ sip.conf это выгл€дит примерно так:
    sip.conf  
    [101] 
    username=101 
    secret=101
    host=dynamic
    
    ƒопускать такого, категорически нельз€. “ем более что при создании внутреннего номера через интерфейс FreePBX 13, автоматически генерируетс€ 32-значный надЄжный пароль.
    ѕовышение безопасности Asterisk ѕри настройке внутренних номеров также следует ограничивать IP-адреса, которые могут быть на них зарегистрированы вплоть до пула адресов локальной подсети. IP-ј“— Asterisk имеет встроенные ACL (Access Control List), в настройке sip.conf. ѕри помощи команд permit/deny можно разрешить лишь опредЄленное количество IP-адресов дл€ регистрации.
  3. ƒругой важной мерой по усилению безопасности, €вл€етс€ ограничение удалЄнного доступа к IP-ј“— при помощи firewall. Ѕудьте внимательны, так как в данном случае, главное грамотно настроить правила, по которым будет отрабатывать firewall. ”бедитесь, что настройка не блокирует порты, которые использует ваша IP-ј“— и не позвол€ет анонимно посылать ICMP запросы из публичной сети. ≈сли вы планируете предоставл€ть удалЄнный доступ дл€ авторизованных сотрудников, лучше всего организовать его при помощи VPN сервера (например, Open VPN).
  4. ≈сли это возможно, то желательно использовать NAT (Network Address Translation). ѕри помощи NATТа, можно присвоить IP-ј“— приватный IP-адрес и существенно усложнить доступ к ней из »нтернета.
  5. ≈щЄ одним очень важным фактором, €вл€етс€ разделение вход€щих и исход€щих маршрутов (Inbound Routes и Outbound Routes). Ќеобходимо, чтобы каждый маршрут принадлежал собственному контексту обработки вызова.
  6. ќтключите каналы и сервисы, которые не используютс€. Ќапример, если вы не используете протокол MGCP или skinny. ќтключить эти модули можно в /etc/modules.conf как показано ниже:
    noload => chan_mgcp.so
    noload => chan_skinny.so 
    noload => chan_oss.so
    
  7. „тобы усложнить работу всевозможным SIP-сканнерам, необходимо в настройках sip.conf выставить следующее условие - alwaysauthreject=yes. Ёто будет преп€тствовать получению информации об использующихс€ внутренних номерах на вашей IP-ј“—.
  8. –екомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). —тавьте ограничени€ на звонки в таких маршрутах или закрывайте их PIN Ц кодом, который могут знать только сотрудники вашей организации.

 ак видите, защитить IP-ј“— от внешних вторжений не так уж трудно, следу€ предложенным советам, можно достаточно серьЄзно повысить безопасность и надЄжность системы.


ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных