Защищенная инфраструктура VoIP-телефонии:
шпаргалка администратора

Внедрение VoIP-телефонии в организации иногда сопряжено с рисками, непредвиденными проблемами и другими препятствиями. Несмотря на то что переход на VoIP неизбежен, ИТ-персонал многих организаций опасается перехода на эту технологию – слишком много открытых вопросов как с миграцией сервисов, так и с управлением пользователями вдальнейшем. Но главный вопрос – безопасность: может ли критичная система корпоративной VoIP-телефонии быть надежно защищена от разрушительных действий хакеров икражи пользовательских данных?

3CX v15.5 предлагает ряд самых современных средств обеспечения безопасности VoIP. Вам не придется участвовать в очередном разбирательстве, связанном с взломом IP-АТС. Всенастройки безопасности делаются в простом и интуитивно понятном интерфейсе управления АТС – сложность подобных систем уходит в прошлое.

Совместно с сервисом Let’s Encrypt 3CX автоматически генерирует сертификаты безопасности для установленной IP-АТС. Вам не нужно использовать сертификаты от сторонних поставщиков, и в то же время система получает лучший уровень безопасности в индустрии. Но, честно говоря, хорошие SSL-сертификаты – только вершина айсберга. Поверхностное отношение к безопасности корпоративной VoIP-телефонии – это создание целого клубка проблем.

Простые меры, отличный результат

Информационные угрозы VoIP-телефонии мало чем отличаются от подобных угроз для любого приложения или сервиса, работающего в интернете. Но при грамотном внедрении IP-АТС будет так же безопасна, как привычная аналоговая АТС. Главное отличие VoIP-систем: на их безопасность критично влияют ошибки человека – системного администратора. Простейший метод хакеров – подбор учетных данных SIP-аутентификации и подключение к корпоративной IP-АТС от имени легального пользователя. После этого, как правило, запускается поток вызовов по наиболее дорогим направлениям (перепродажа VoIP-трафика на черном рынке). В результате ничего не подозревающей компании приходит огромный телефонный счет.

Все современные IP-АТС конфигурируются через веб-интерфейс. Это удобно, но требует анализа безопасности на каждом уровне. Некоторые IP-АТС все еще предлагают стандартный пароль по умолчанию. Неизменение такого пароля – начало проблем. Хакеры знают об этой особенности и постоянно сканируют интернет на подобные уязвимости, запуская brute-force-атаки (простой перебор паролей) с применением широко используемых учетных данных или их частей. Поэтому критически важно создавать надежные пароли для всех без исключения аккаунтов в системе, внедрить политику плановой и внеплановой смены паролей и донести ее до конечных пользователей.

Сервер 3CX блокирует хакерские атаки прямо «из коробки», автоматически генерируя надежные пароли для всех создаваемых добавочных номеров (пользователей). Кроме того, всем новым пользователям по умолчанию запрещено подключение к серверу за пределами локальной сети (т.е. из интернета). Право на подключение извне назначается администратором АТС индивидуально. Тем не менее он должен отслеживать все подозрительные подключения к системе, а 3CX предлагает для этого удобные инструменты.

Еще одно уязвимое место VoIP-инфраструктуры – IP-телефоны и другие VoIP-устройства. И, как ни странно, некоторые VoIP-системы позволяют использовать SIP-аутентификацию без пароля. Остерегайтесь этого! Другая распространенная ошибка как создателей систем, так и обслуживающих инженеров – указание пароля, аналогичного имени пользователя/номеру телефона. Например, добавочному номеру 100 назначается такой же пароль 100. Это огромная брешь в безопасности IP-АТС, которая будет использована хакерами в первую очередь. Никогда не используйте пароль или его часть, которую можно предугадать по имени пользователя.

Уязвимая сеть – уязвимые сервисы

Несмотря на то что 3CX предлагает многоступенчатую систему безопасности (защита сервисов системы, данных пользователей, автоматическое блокирование атак), слабая общая безопасность корпоративной сети, безусловно, ставит под угрозу и сетевые сервисы VoIP-телефонии.

Действительно, безопасная корпоративная телефония предполагает, что внутренние механизмы защиты сервера АТС дополняются программно-аппаратными механизмами защиты периметра сети. Если говорить о программной защите 3CX, прежде всего стоит упомянуть серверный модуль антихакинга. Он предотвращает неавторизованный доступ злоумышленников к добавочным номерам пользователей, а также выявляет и блокирует brute-force-атаки, dictionary-атаки (с перебором по словарю) и DoS-атаки (отказ вобслуживании). Выявив признаки атаки, модуль просто «банит» IP-адрес, с которого ведется атака. Но, даже если злоумышленники получили доступ к добавочному номеру (например, с потерянного смартфона пользователя), 3CX может блокировать внешние вызовы, требуя ввод служебного PIN-кода. Кроме того, администратор может настроить полное блокирование вызовов на внешние номера в нерабочие часы.

Но даже самое защищенное приложение само по себе не защитит «дырявую» сеть. Распространенная практика защиты – разделение (сегрегация) корпоративной сети на сегменты. Втакой сети проникновение злоумышленников не продвинется далее границ сегмента и не затронет важные корпоративные сервисы. Но тут многое зависит от квалификации архитекторов сетевой инфраструктуры. Трудно рекомендовать единое сетевое решение для корпоративного VoIP, потому что оно сильно зависит и от размера организации, и отспецифики бизнеса.

Но есть одна общая рекомендация – обращайте вни­мание на открытые (опубликованные) порты ваших ло­кальных сервисов. Никогда не открывайте порты (например, SIP-порт IP-АТС), если не уверены, что они вам необходимы. И даже если открываете, делайте их доступными только для тех внешних IP-адресов, откуда планируются подключения пользователей. Ничто не мешает закрыть на сетевом экране все внешние IP-адреса, кроме доверенного пула (например, оставить IP-адреса только вашей страны).

Защита периметра сети – весьма важная, но не единственная часть общей стратегии безопасности VoIP. Рекомендуем также внедрить и использовать систему обнаружения вторжений (Intrusion Detection System). Такая система предупреждает администратора о попытках взлома еще до того, как вторжение произошло. Установленная непосредственно насервере АТС, IDS-система анализирует лог-файлы сервисов, журнал событий ОС (Event log) и подозрительные попытки изменения файлов. Еще один механизм предотвращения вторжений – мониторинг сетевой активности. Например, brute-force-атака вызывает необычно резкое увеличение сетевого трафика, которое можно оперативно отследить.

Secure SIP и Secure RTP

VoIP-трафик в сети разделяется на две части: SIP-сигнализация включает данные о начале и завершении вызова, номерах пользователей, используемых голосовых кодеках и т.п.; мультимедийные данные (голос и видео) – голосовой и видеопоток между пользователями. Для безопасной передачи VoIP-трафика обе эти части должны быть надежно зашифрованы. SIP-сигнализация шифруется протоколом Secure SIP (TLS), а мультимедийные данные – протоколом Secure RTP (SRTP). Но 3CX предлагает еще один, собственный, уровень шифрования трафика – инкапсуляцию (туннелирование) обоих типов трафика в проприетарный протокол, который исключает перехват и прослушивание голоса, включая man in the middle-атаки (атаки посредника).

На локальном сервере и в облачной инфраструктуре

IP-АТС 3CX гарантирует одинаковую безопасность и возможности унифи-цированных коммуникаций как локально установленного сервера, так и размещенного у облачного провайдера. Однако в обоих случаях необходима периодическая установка последних обновлений безопасности. Не помешает и периодический аудит безопасности сервера квалифицированным системным инженером. Планируя внедрение корпоративной VoIP-телефонии, хорошо взвесьте риски, связанные с установкой «коробочной» аппаратной IP-АТС. К сожалению, довольно много организаций устанавливают такие «черные ящики», а затем забывают о них. Кастомизированная операционная система и объединенная с ней водну «сборку» программная IP-АТС представляют отличную мишень для злоумышленников. К сожалению, такие программно-аппаратные «сборки» обновляются гораздо позже, чем уязвимости становятся известны хакерам. В результате атаке подвергается не только собственно корпоративная VoIP-телефония, но и вся сетевая инфраструктура организации.

IP-АТС 3CX может быть установлена на Windows, Linux и в облаке. Разместив АТС в облачной инфраструктуре таких провайдеров, как Amazon и Google, вы можете практически небеспокоиться о безопасности физического сервера и ОС. А если вам удобнее разместить систе­му на локальном сервере, используйте наши рекоменда­ции по планированию VoIP-инфраструктуры и расширен­ные технологии безопасности 3CX. Результат – действитель­но надежная, стабильная и максимально защищенная IP-АТС, доступная сотрудникам влюбом месте и в любое время.

Используйте 3CX бесплатно в течение одного года: www.3cx.ru.

Комментарии могут оставлять только зарегистрированные пользователи