Защищенная инфраструктура VoIP-телефонии: шпаргалка администратора::Журнал СА 3.2018
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6141
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6853
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4135
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2976
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6282
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3433
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12335
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13966
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9098
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7052
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5361
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4593
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3400
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3127
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3378
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 2999
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Защищенная инфраструктура VoIP-телефонии: шпаргалка администратора

Архив номеров / 2018 / Выпуск №3 (184) / Защищенная инфраструктура VoIP-телефонии: шпаргалка администратора

Рубрика: IP-телефония /  Продукты и решения

Защищенная инфраструктура VoIP-телефонии:
шпаргалка администратора

Внедрение VoIP-телефонии в организации иногда сопряжено с рисками, непредвиденными проблемами и другими препятствиями. Несмотря на то что переход на VoIP неизбежен, ИТ-персонал многих организаций опасается перехода на эту технологию – слишком много открытых вопросов как с миграцией сервисов, так и с управлением пользователями вдальнейшем. Но главный вопрос – безопасность: может ли критичная система корпоративной VoIP-телефонии быть надежно защищена от разрушительных действий хакеров икражи пользовательских данных?

3CX v15.5 предлагает ряд самых современных средств обеспечения безопасности VoIP. Вам не придется участвовать в очередном разбирательстве, связанном с взломом IP-АТС. Всенастройки безопасности делаются в простом и интуитивно понятном интерфейсе управления АТС – сложность подобных систем уходит в прошлое.

Совместно с сервисом Let’s Encrypt 3CX автоматически генерирует сертификаты безопасности для установленной IP-АТС. Вам не нужно использовать сертификаты от сторонних поставщиков, и в то же время система получает лучший уровень безопасности в индустрии. Но, честно говоря, хорошие SSL-сертификаты – только вершина айсберга. Поверхностное отношение к безопасности корпоративной VoIP-телефонии – это создание целого клубка проблем.

Простые меры, отличный результат

Информационные угрозы VoIP-телефонии мало чем отличаются от подобных угроз для любого приложения или сервиса, работающего в интернете. Но при грамотном внедрении IP-АТС будет так же безопасна, как привычная аналоговая АТС. Главное отличие VoIP-систем: на их безопасность критично влияют ошибки человека – системного администратора. Простейший метод хакеров – подбор учетных данных SIP-аутентификации и подключение к корпоративной IP-АТС от имени легального пользователя. После этого, как правило, запускается поток вызовов по наиболее дорогим направлениям (перепродажа VoIP-трафика на черном рынке). В результате ничего не подозревающей компании приходит огромный телефонный счет.

Все современные IP-АТС конфигурируются через веб-интерфейс. Это удобно, но требует анализа безопасности на каждом уровне. Некоторые IP-АТС все еще предлагают стандартный пароль по умолчанию. Неизменение такого пароля – начало проблем. Хакеры знают об этой особенности и постоянно сканируют интернет на подобные уязвимости, запуская brute-force-атаки (простой перебор паролей) с применением широко используемых учетных данных или их частей. Поэтому критически важно создавать надежные пароли для всех без исключения аккаунтов в системе, внедрить политику плановой и внеплановой смены паролей и донести ее до конечных пользователей.

Сервер 3CX блокирует хакерские атаки прямо «из коробки», автоматически генерируя надежные пароли для всех создаваемых добавочных номеров (пользователей). Кроме того, всем новым пользователям по умолчанию запрещено подключение к серверу за пределами локальной сети (т.е. из интернета). Право на подключение извне назначается администратором АТС индивидуально. Тем не менее он должен отслеживать все подозрительные подключения к системе, а 3CX предлагает для этого удобные инструменты.

Еще одно уязвимое место VoIP-инфраструктуры – IP-телефоны и другие VoIP-устройства. И, как ни странно, некоторые VoIP-системы позволяют использовать SIP-аутентификацию без пароля. Остерегайтесь этого! Другая распространенная ошибка как создателей систем, так и обслуживающих инженеров – указание пароля, аналогичного имени пользователя/номеру телефона. Например, добавочному номеру 100 назначается такой же пароль 100. Это огромная брешь в безопасности IP-АТС, которая будет использована хакерами в первую очередь. Никогда не используйте пароль или его часть, которую можно предугадать по имени пользователя.

Уязвимая сеть – уязвимые сервисы

Несмотря на то что 3CX предлагает многоступенчатую систему безопасности (защита сервисов системы, данных пользователей, автоматическое блокирование атак), слабая общая безопасность корпоративной сети, безусловно, ставит под угрозу и сетевые сервисы VoIP-телефонии.

Действительно, безопасная корпоративная телефония предполагает, что внутренние механизмы защиты сервера АТС дополняются программно-аппаратными механизмами защиты периметра сети. Если говорить о программной защите 3CX, прежде всего стоит упомянуть серверный модуль антихакинга. Он предотвращает неавторизованный доступ злоумышленников к добавочным номерам пользователей, а также выявляет и блокирует brute-force-атаки, dictionary-атаки (с перебором по словарю) и DoS-атаки (отказ вобслуживании). Выявив признаки атаки, модуль просто «банит» IP-адрес, с которого ведется атака. Но, даже если злоумышленники получили доступ к добавочному номеру (например, с потерянного смартфона пользователя), 3CX может блокировать внешние вызовы, требуя ввод служебного PIN-кода. Кроме того, администратор может настроить полное блокирование вызовов на внешние номера в нерабочие часы.

Но даже самое защищенное приложение само по себе не защитит «дырявую» сеть. Распространенная практика защиты – разделение (сегрегация) корпоративной сети на сегменты. Втакой сети проникновение злоумышленников не продвинется далее границ сегмента и не затронет важные корпоративные сервисы. Но тут многое зависит от квалификации архитекторов сетевой инфраструктуры. Трудно рекомендовать единое сетевое решение для корпоративного VoIP, потому что оно сильно зависит и от размера организации, и отспецифики бизнеса.

Но есть одна общая рекомендация – обращайте вни­мание на открытые (опубликованные) порты ваших ло­кальных сервисов. Никогда не открывайте порты (например, SIP-порт IP-АТС), если не уверены, что они вам необходимы. И даже если открываете, делайте их доступными только для тех внешних IP-адресов, откуда планируются подключения пользователей. Ничто не мешает закрыть на сетевом экране все внешние IP-адреса, кроме доверенного пула (например, оставить IP-адреса только вашей страны).

Защита периметра сети – весьма важная, но не единственная часть общей стратегии безопасности VoIP. Рекомендуем также внедрить и использовать систему обнаружения вторжений (Intrusion Detection System). Такая система предупреждает администратора о попытках взлома еще до того, как вторжение произошло. Установленная непосредственно насервере АТС, IDS-система анализирует лог-файлы сервисов, журнал событий ОС (Event log) и подозрительные попытки изменения файлов. Еще один механизм предотвращения вторжений – мониторинг сетевой активности. Например, brute-force-атака вызывает необычно резкое увеличение сетевого трафика, которое можно оперативно отследить.

Secure SIP и Secure RTP

VoIP-трафик в сети разделяется на две части: SIP-сигнализация включает данные о начале и завершении вызова, номерах пользователей, используемых голосовых кодеках и т.п.; мультимедийные данные (голос и видео) – голосовой и видеопоток между пользователями. Для безопасной передачи VoIP-трафика обе эти части должны быть надежно зашифрованы. SIP-сигнализация шифруется протоколом Secure SIP (TLS), а мультимедийные данные – протоколом Secure RTP (SRTP). Но 3CX предлагает еще один, собственный, уровень шифрования трафика – инкапсуляцию (туннелирование) обоих типов трафика в проприетарный протокол, который исключает перехват и прослушивание голоса, включая man in the middle-атаки (атаки посредника).

На локальном сервере и в облачной инфраструктуре

IP-АТС 3CX гарантирует одинаковую безопасность и возможности унифи-цированных коммуникаций как локально установленного сервера, так и размещенного у облачного провайдера. Однако в обоих случаях необходима периодическая установка последних обновлений безопасности. Не помешает и периодический аудит безопасности сервера квалифицированным системным инженером. Планируя внедрение корпоративной VoIP-телефонии, хорошо взвесьте риски, связанные с установкой «коробочной» аппаратной IP-АТС. К сожалению, довольно много организаций устанавливают такие «черные ящики», а затем забывают о них. Кастомизированная операционная система и объединенная с ней водну «сборку» программная IP-АТС представляют отличную мишень для злоумышленников. К сожалению, такие программно-аппаратные «сборки» обновляются гораздо позже, чем уязвимости становятся известны хакерам. В результате атаке подвергается не только собственно корпоративная VoIP-телефония, но и вся сетевая инфраструктура организации.

IP-АТС 3CX может быть установлена на Windows, Linux и в облаке. Разместив АТС в облачной инфраструктуре таких провайдеров, как Amazon и Google, вы можете практически небеспокоиться о безопасности физического сервера и ОС. А если вам удобнее разместить систе­му на локальном сервере, используйте наши рекоменда­ции по планированию VoIP-инфраструктуры и расширен­ные технологии безопасности 3CX. Результат – действитель­но надежная, стабильная и максимально защищенная IP-АТС, доступная сотрудникам влюбом месте и в любое время.

Используйте 3CX бесплатно в течение одного года: www.3cx.ru.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru