Защита IP АТС от внешних атак

Материал из Oktell
Перейти к: навигация, поиск

В данной статье будут разбираться практики атак IP АТС и способы противодействия. Следует иметь в виду, что методики атакующих постоянно совершенствуются, однако мы в рамках данной статьи постараемся отслеживать новые способы атак и давать свои рекомендации. Oktell является очень мощным и гибким инструментом и мы надеемся, что с его помощью вы будете надежно защищены, при выполнении наших рекомендаций.


Подключение под видом IP телефона с целью совершения звонков на платные номера

Цель и методика атаки.

Атака производится с целью финансового обогащения. За рубежом или в России регистрируется номер телефона, звонок на который является платным. Чем выше стоимость минуты - тем прибыльнее бизнес. Затем специальным оборудованием атакующие сканируют случайные IP адреса в интернете с целью установить любой ответ от IP PBX. После нахождения IP адреса с установленной на нем IP АТС начинается подбор пары логин-пароль. Сканирование ведется очень интенсивно и в случае успешного подбора атакующие подключаются к IP АТС как IP телефон и получают возможность совершения исходящих звонков. Путем подбора различных вариантов набора номера атакующие совершают звонок на свой платный номер и за короткое время "наговаривают" вполне приличную сумму, которая будет выставлена вам оператором за услуги связи в конце месяца.

Противодействие:

На всех телефонах и клиентских приложениях Oktell необходимо устанавливать сложные криптостойкие пароли, состоящие из заглавных и строчных букв и цифр. Небрежность администратора, прописавшего тестовые аккаунты с простыми паролями, или не убравшего простые пароли при переносе сервера из локальной сети на реальный IP адрес приведет к тому, что такой пароль с высокой степенью вероятности будет подобран скан-машинами.

Программный код Oktell содержит возможность автоматической блокировки IP адреса, с которого осуществляется несколько неудачных попыток регистраций. Принцип действия режима автоматической блокировки следующий: При поступлении за 10 секунд более 20 регистрационных пакетов с неверной авторизационной информацией - IP адрес целиком записывается в бан-лист. По истечении срока давности в соответствии с параметром конфигурации происходит автоматическое удаление из бан-листа. При повторном получении неверной авторизационной информации после разбана размещение в бан-листе происходит уже сразу по второму пакету. В серверном лог журнале Exception при этом появляются записи, фиксирующие внесение адресов в бан-лист с указанием причины и адреса. Включение этого режима производится в конфигурационном файле сервера строчкой:

<add key="EnableSipTransportFilter" value="1" />
0 - выключено
1 - включено и банит до перезагрузки сервера
NN - период в минутах, после которого производится автоматический разбан

На момент написания статьи (декабрь 2012 г) большинство атак совершаются с useragent friendly-scanner. В версии начиная с 12.12.12 встроена дополнительная защита и пакеты от данного программного обеспечения игнорируются.

Для того, чтобы даже при успешном подборе пары логин-пароль защититься от ущерба необходимо внести соответствующие изменения в настройки сценариев. Часто АТС в организациях настроены таким образом, чтобы звонок совершаемый через 8, через 0 или через какой-то другой символ, выходил на городские линии, в противном случае номер считается внутренним и маршрутизируется во внутренний номерной план. Такая настройка является типовой и привычной для большинства пользователей России. Именно это и дает возможность атакующим подобрать символ, открывающий выход на городские линии, чтобы потом совершать звонки на короткие и платные номера, международные номера, сервисные номера. Для того, чтобы закрыть атакующим такую возможность, необходимо использовать другой принцип разделения номеров внутреннего номерного плана и номеров, набираемых по линиям операторов связи, а именно маршрутизацию по длине номера. Это позволит исключить возможность выходить на линии операторов связи с короткими номерами, а также с номерами маска которых не соответствует нумерации вашей страны или стран, в которые вы совершаете звонки. Все трехзначные или четырехзначные вызовы должны отправляться только во внутренний номерной план. Исключение стоит сделать для номеров экстренных служб, например 01, 02, 03, 04, 112. Перед выходом на линии операторов связи полезно по маске отрезать возможность набора любых номеров, кроме тех, на которые разрешено совершать звонки. Например если вы работаете только по России, на городские номера то нужно отклонить номер, если он содержит длину не равную 11 цифрам, если первая цифра отличается от 7 или 8 (по условиям вашего провайдера), а также если первые 4 цифры соответствуют принятой в России маске платных и служебных номеров.