В рубрику "Решения корпоративного класса" | К списку рубрик | К списку авторов | К списку публикаций
Современные IP-АТС – один из важнейших инструментов ведения бизнеса. Не секрет, что услуги передачи голоса через сеть Интернет (VoIP) год от года становятся все более востребованными. Объемы рынка предоставления услуг унифицированных коммуникаций неуклонно растут как в России, так и во всем мире. Зачастую внедрение различных систем унифицированных коммуникаций выгодно для организации не столько с экономической, сколько с точки зрения богатства функций, возможности интеграции в бизнес-процессы и удобства повседневной работы. Однако несмотря на все прелести современных средств унифицированных коммуникаций с каждым днем растет и количество хакерских атак на корпоративные системы связи. Статья дает общий обзор возможностей современных пользователей защитить коммуникационные системы (в первую очередь, корпоративные).
Modern IP-PBX is one of the most important tools of doing business. It's no secret that year by year the voice services over the Internet are becoming more popular. Market size of unified communications services has been steadily growing both in Russia and around the world. Often, the introduction of various unified communications is beneficial for the organization not only economically, but in terms of the wealth of features, integration with business processes and convenience in daily operation. However, despite all the benefits of modern unified communications the number of hacker attacks on corporate communications is growing every day. The article gives an overview of the modern users' possibilities to protect communication systems (primarily corporate).
Телефонные станции очень часто становятся объектом хакерских атак. Это вызвано тем, что, пропуская звонки через взломанную станцию, терминируя "серый" телефонный трафик, злоумышленник имеет возможность очень быстро заработать деньги на взломе. И если взлом любых других интернет-серверов куда сложнее сконвертировать в деньги, то взлом IP-АТС дает возможность получить деньги буквально на следующий день.
Ключевые слова:И как результат этого, владелец АТС может в итоге получить просто огромные счета от оператора телефонии за разговоры (о совершении которых он и не подозревал) с какими-нибудь экзотическими странами. В первую очередь, к сожалению, взломам способствует человеческий фактор, например:
Хочется обратить внимание на то, что современное коммуникационное оборудование является одним из важнейших инструментов ведения бизнеса, который обеспечивает компанию таким неоспоримым преимуществом, как качественная и надежная текстовая, аудио- и видеосвязь. Подходить к вопросу выбора, инсталляции и последующего обслуживания данного оборудования нужно комплексно и серьезно, обеспечив необходимую защиту своим деловым коммуникациям.
Современные IP-АТС – это прежде всего телефонная система, базирующаяся на компьютерной платформе. Клиенты и поставщики услуг обычно связываются между собой через Интернет. Получается, что некоторые сервисы системы становятся открытыми для внешнего мира. Хакеры могут подключаться к вашей АТС и производить звонки на огромные суммы.
Первым шагом при построении системы безопасности для системы IP-телефонии является осознание возникающих рисков. В общем случае они могут быть разделены на четыре группы:
Необходимо обращать внимание на средства защиты и компоненты коммуникационной системы или решения по IP-телефонии, которые планируется внедрить в организации. Основные компоненты, особенно часто подвергающиеся атакам, должны иметь защиту:
Однако следует помнить, что весьма важна также правильная установка и настройка защиты некоторых компонентов. Сервер управления вызовами (IP-АТС) – это критический ресурс в коммуникационной системе организации. На нем содержится вся информация о пользователях, маршрутизации, сервисах, и он может управлять доступом к другим серверам. Никогда не выставляйте IP-АТС полностью открытой – обязательно удостоверьтесь, что она находится за межсетевым экраном. Любой доступ к системным службам должен быть сделан только через VPN. Азы безопасности начинаются с того, чтобы выставить на доступ извне как можно меньше сервисов. Для сотрудников, работающих удаленно, которые не могут использовать VPN, необходимо оставить SIP-порты открытыми, но обязательно потребуется обеспечить безопасность данных соединений.
Чаще всего SIP-пользователи находятся в локальной сети с постоянными IP-адресами или централизованно управляемыми при помощи DHCP. В качестве дополнительной меры безопасности можно явно указывать адрес для подключения конкретного внутреннего абонента. Если политикой безопасности компании разрешено удаленное подключение к системе, можно повысить защищенность путем задания явно разрешенных или запрещенных хостов или сетей.
Для удаленного администрирования IP-АТС с необходимостью доступа к таким системным службам, как HTTP и SSH, обязательной мерой, существенно повышающей уровень защиты системы, является смена стандартных портов.
Оставив доступными извне только необходимые службы, следует также ограничить возможность сетевых подключений к ним с использованием межсетевого экрана. Хорошей практикой является использование нескольких сетевых интерфейсов в IP-АТС, где SIP-протокол доступен только для внутренних сетевых адресов, а объединение офисов осуществляется по IAX2-протоколу, с явным открытием на межсетевом экране IP-адресов офисов и фильтрацией для всех остальных. В такой конфигурации у злоумышленника отсутствует физическая возможность атаковать коммуникационный сервер организации с использованием уязвимостей протоколов.
Необходимо предусмотреть меры по мониторингу атак на IP-АТС и контролю конфигурации управляющей коммуникационной платформы на наличие встраиваемых вредоносных кодов.
Немаловажно грамотно настроить доступ внутренних абонентов к междугородним и международным направлениям связи, а также правильное отображение локального (внутренний номер абонента) и внешнего (внешний номер организации) Caller ID.
При создании плана набора следует разграничить пользователей по возможности доступа к различным направлениям вызовов. Например, внутреннему номеру рядового менеджера может быть разрешен набор городских номеров, но запрещен вызов междугородних и международных направлений. Если план набора разработан неаккуратно, пользователи из-за ошибок инсталляции могут получить возможность мошенничать в корпоративной системе.
Caller ID – это идентификатор абонента в виде "Имя абонента" <номер абонента>. Пользователи могут не догадываться о том, насколько просто поменять Caller ID, если он четко не привязан, и осуществить атаку по типу Caller ID spoofing (подмена Caller ID) для получения каких-либо преимуществ или нанесения вреда. Администратору АТС следует четко назначать абонентам Caller ID. Также необходимо подменять внутренний Caller ID на исходящих звонках на SIP провайдера. При терминации VoIP-звонка в ТФОП провайдер все равно подставит свой номер, но если не скрывать свой номер перед посылкой звонка на SIP провайдера, он может получить полное представление о внутренних номерах компании, по которым сделать вывод об иерархии и активировать выборочную запись разговоров. Поэтому перед отправкой звонка рекомендуется на линии, ведущей к провайдеру, настроить отображение внешнего номера организации.
Всегда следует помнить, что тот, кто принимает трафик на терминацию, обладает возможностью несанкционированной записи телефонных разговоров. Скрытие внутренних пользователей, описанное выше, позволяет приравнять весь телефонный трафик, однако, возможность его записи все равно остается. Общей рекомендацией является работа с надежными провайдерами, которым можно в определенной степени доверять. В случае когда необходимо обеспечить гарантированные защищенные переговоры, следует использовать устройства с поддержкой шифрования, подключенные к IP-АТС организации.
Литература
Опубликовано: Журнал "Технологии и средства связи" #4, 2013
Посещений: 10413
Статьи по теме
Автор
| |||
В рубрику "Решения корпоративного класса" | К списку рубрик | К списку авторов | К списку публикаций