Обеспечение безопасности телефонии — различия между версиями
Строка 26: | Строка 26: | ||
==Способы обеспечения безопасности== | ==Способы обеспечения безопасности== | ||
− | 1. '''Настройка firewall на сервере Oktell.''' | + | '''1.''' '''Настройка firewall/брандмауэр/антивирус на сервере Oktell.''' |
+ | * Необходимо ограничить доступ к серверу Oktell по RDP (по умолчанию, порт 3389) и обозначить только те IP адреса, которые могут осуществить вход на сервер. | ||
+ | * Запретите прием запросов от неизвестных IP-адресов по открытым портам. Разрешите прием запросов только от тех IP-адресов, которые относятся к вашим сотрудникам. Однако, будьте осторожны - некоторые сотрудники могут использовать веб-клиент Oktell, а значит и расширяется список возможных IP-адресов. Проверить порты слушателей можно с помощью командной строки: | ||
+ | netstat -anop udp | ||
+ | netstat -anop tcp | ||
− | + | * Если вы используете удаленный SQL-сервер, то аналогично закройте удаленный доступ для всех адресов, кроме разрешенных. Также рекомендуется сменить имя стандартное имя входа в базу данных. | |
− | + | ||
− | |||
− | + | '''2.''' '''Использование виртуальных частных сетей'''. | |
+ | * Создайте виртуальную частную сеть и используйте ее для подключения IP-телефонов и клиентских приложений. Таким образом, смогут подключиться только те пользователи, у которых есть доступ к вашей VPN-сети. С помощью VPN-сетей вы можете не беспокоиться за то, что трафик, идущий по открытым сетям, может быть перехвачен. А значит никто не сможет прослушать ваши разговоры. Может возникнуть проблема с использованием мобильных софтфонов и зависит от возможности настройки VPN на смартфонах. | ||
+ | * Существуют рекомендации по разделению сетей - | ||
− | + | '''3.''' '''Серверный конфигурационный файл Oktell''' | |
+ | * Смените SIP-порт 5060 (установленный по умолчанию) на другой. Обуславливается это тем, что большинство BruteForce-атак нацелены именно на стандартный порт 5060. Сменив его, например, на порт 5090 вы сможете избежать большую часть проблем. Используйте следующий ключ: | ||
+ | <add key="START_SERVER_XX" value="SIP Server;oktell.HALSipSrv.dll;SIP;sip:*:5090" /> | ||
− | + | * Убедитесь, что у вас заблокирована учетная запись администратора по умолчанию (логин - '''Администратор''', пароль пустой). Данная учетная запись автоматически блокируется после создания хотя бы одного пользователя с ролью Администратора. Ключ в конфигурационном файле: | |
+ | <add key="EnableEmptyAdmin" value="0" /> | ||
− | + | '''4.''' '''Настройка сервера Oktell''' | |
− | + | * Настоятельно рекомендуется использовать только сложные пароли для пользователей Oktell и для подключения устройств (более 8 символов в верхнем и нижнем регистре с использованием цифр). Oktell имеет механизм генерации паролей (кнопка Генерировать). | |
− | + | * Обновляйте вашу версию Oktell. Разработчики постоянно совершенствуют систему защиты и оптимизируют работы программы. При обновлении ознакомьтесь со статьей [[Порядок обновления программы]] | |
− | + | * Ограничьте возможность совершения междугородних и международных звонков для пользователей. Самый удобный способ - модификация сценариев Oktell. Обратите особое внимание на следующие сценарии: | |
− | + | :* Сценарий IVR маршрутизации исходящих звонков | |
− | + | :* Сценарий IVR маршрутизации при переводе звонка | |
− | + | :* Служебный сценарий набора внешних/быстрых номеров | |
− | + | :* Служебный сценарий автодозвона | |
− | + | :* Любой другой IVR, в который имеется переключение на внешние линии | |
− | + | В этих сценариях необходимо либо ввести некоторый пароль для совершения международных звонков, либо проводить маршрутизацию в зависимости от пользователей (их ролей, внутреннего номера и т.д.) | |
− | + |
Версия 13:27, 4 июня 2014
Кому может быть интересен взлом IP телефонии? Зачем это делается? Может показаться, что во время взлома ваших серверов, хакер получает доступ к записям ваших разговоров, статистике звонков и другим отчетам. Однако, в действительности это мало кому интересно. Абсолютно также не интересно использование вашей телефонии для совершения бесплатных звонков по городу или предоставление этого канала другим компаниям.
На самом деле взлом IP-телефонии - это один из наиболее удобных способов зарабатывания денег для хакера. Взломав вашу станцию и проводя через нее телефонные звонки на зарубежные платные направления, хакер получает некое вознаграждение на свои электронные кошельки, затем обналичивает их и получает вполне реальные деньги. В итоге, компания-жертва ничего не подозревая в конце месяца получает счет на достаточно круглую сумму.
На практике, Oktell имеет сильные механизмы защиты от взлома. Однако еще больший вклад в защиту во многом зависит от интегратора и администратора системы. Важно очень серьезно относится к защите вашей IP-АТС.
Типовые ошибки безопасности
Рассмотрим способы взлома IP-АТС для совершения звонков на внешние номера.
1. Имеется доступ к серверу Oktell. Самый простой способ для совершения звонков - получить доступ к серверу Oktell. Добавив свою учетную запись администратора системы, хакер получает возможность использовать телефонию вашей компании.
2. Имеется доступ к SQL-серверу. Если хакер получил доступ к SQL-серверу, фактически он имеет доступ к серверу Oktell. Выполнив несколько запросов, создается пользователь с ролью администратора, а значит и возможно совершение звонков с вашего SIP-сервера.
3. Получена учетная запись пользователя или устройства. Получив учетную запись устройства, хакер регистрирует свой телефон на вашем SIP-сервере и начинает совершать звонки по международным направлениям. Если имеется учетная запись пользователя, то она используется для входа в клиентское приложение и совершение звонков.
4. Глупая маршрутизация звонка. Убедитесь, что входящий звонок не может совершить исходящий звонок из вашей системы в IVR сценариях.
5. Доступ к периферийному оборудования. Имея доступ к шлюзам (FXO, FXS), роутерам и другому оборудованию возможно перенаправления трафика. Проблема относится скорее к нежелательной прослушке разговоров, нежели к совершению звонков.
Способы обеспечения безопасности
1. Настройка firewall/брандмауэр/антивирус на сервере Oktell.
- Необходимо ограничить доступ к серверу Oktell по RDP (по умолчанию, порт 3389) и обозначить только те IP адреса, которые могут осуществить вход на сервер.
- Запретите прием запросов от неизвестных IP-адресов по открытым портам. Разрешите прием запросов только от тех IP-адресов, которые относятся к вашим сотрудникам. Однако, будьте осторожны - некоторые сотрудники могут использовать веб-клиент Oktell, а значит и расширяется список возможных IP-адресов. Проверить порты слушателей можно с помощью командной строки:
netstat -anop udp netstat -anop tcp
- Если вы используете удаленный SQL-сервер, то аналогично закройте удаленный доступ для всех адресов, кроме разрешенных. Также рекомендуется сменить имя стандартное имя входа в базу данных.
2. Использование виртуальных частных сетей.
- Создайте виртуальную частную сеть и используйте ее для подключения IP-телефонов и клиентских приложений. Таким образом, смогут подключиться только те пользователи, у которых есть доступ к вашей VPN-сети. С помощью VPN-сетей вы можете не беспокоиться за то, что трафик, идущий по открытым сетям, может быть перехвачен. А значит никто не сможет прослушать ваши разговоры. Может возникнуть проблема с использованием мобильных софтфонов и зависит от возможности настройки VPN на смартфонах.
- Существуют рекомендации по разделению сетей -
3. Серверный конфигурационный файл Oktell
- Смените SIP-порт 5060 (установленный по умолчанию) на другой. Обуславливается это тем, что большинство BruteForce-атак нацелены именно на стандартный порт 5060. Сменив его, например, на порт 5090 вы сможете избежать большую часть проблем. Используйте следующий ключ:
<add key="START_SERVER_XX" value="SIP Server;oktell.HALSipSrv.dll;SIP;sip:*:5090" />
- Убедитесь, что у вас заблокирована учетная запись администратора по умолчанию (логин - Администратор, пароль пустой). Данная учетная запись автоматически блокируется после создания хотя бы одного пользователя с ролью Администратора. Ключ в конфигурационном файле:
<add key="EnableEmptyAdmin" value="0" />
4. Настройка сервера Oktell
- Настоятельно рекомендуется использовать только сложные пароли для пользователей Oktell и для подключения устройств (более 8 символов в верхнем и нижнем регистре с использованием цифр). Oktell имеет механизм генерации паролей (кнопка Генерировать).
- Обновляйте вашу версию Oktell. Разработчики постоянно совершенствуют систему защиты и оптимизируют работы программы. При обновлении ознакомьтесь со статьей Порядок обновления программы
- Ограничьте возможность совершения междугородних и международных звонков для пользователей. Самый удобный способ - модификация сценариев Oktell. Обратите особое внимание на следующие сценарии:
- Сценарий IVR маршрутизации исходящих звонков
- Сценарий IVR маршрутизации при переводе звонка
- Служебный сценарий набора внешних/быстрых номеров
- Служебный сценарий автодозвона
- Любой другой IVR, в который имеется переключение на внешние линии
В этих сценариях необходимо либо ввести некоторый пароль для совершения международных звонков, либо проводить маршрутизацию в зависимости от пользователей (их ролей, внутреннего номера и т.д.)