Oktell

Безопасность IP ATC Oktell — обеспечиваем безопасность на всех уровнях

23.05.2017
Oktell

Кому интересна IP телефония Вашей организации? Кто ее может взломать и для чего?

На первый взгляд любое несанкционированное вмешательство в сервисное программное обеспечение юридического лица выполняется с целью получения различных сведений о нем — телефонных переговоров или различной отчетной документации. Но практика показывает, что это никому не нужно. Также хакерам не нужно бесплатно звонить по городу или за вознаграждение передать эту возможность другим заинтересованным лицам.

Взлом IP-телефонии — это эффективный инструмент получения доходов. На территории России или за рубежом «недоброжелатель» регистрирует номер телефона. За каждый поступающий сигнал взымается плата. Прибыльность бизнеса напрямую зависит от их стоимости — чем она выше, тем больше получается доход.

У хакера в распоряжении имеются специализированные программно-аппаратные средства, позволяющие отсканировать IP-адрес с любой установленной автономной телефонной станции. Поиск выполняется в случайном порядке. После получения любого отклика подбирается логин-пароль, чтобы получить право пользоваться всеми ресурсами. Процессы происходят с высокой скоростью. Как только злоумышленнику удается подобрать правильную комбинацию для входа, подключается новый IP-телефон к АТС. С этого момента у него появляется возможность пользоваться всеми телефонными коммуникациями, функционирующими на базе интернет-протоколов. Сначала атакующая сторона подбирает подходящий способ набора, затем звонит на свой платный телефон, «наговаривая» за короткий промежуток времени огромную сумму. Счет за переговоры будет выставлен Вашей организации в конце отчетного периода.

Коммуникационная платформа Oktell оснащена несколькими инструментами защиты от несанкционированного проникновения. Важно ее корректно настроить, что в первую очередь зависит от квалификации, а также опыта администратора или интегратора. Не стоит пренебрегать вопросами безопасности АТС, функционирующей по интернет-протоколу, во избежание серьезных финансовых проблем.

Наиболее уязвимые места

На практике взламывают АТС, работающие по IP-протоколу, множеством способов. Основные из них следующие:
1. Злоумышленник проникает в ресурсы сервера коммуникационной платформы. Способ предельно простой — хакер добавляет свои аутентификационные данные для входа к администратору ресурса, тем самым получает в свободное распоряжение линии Вашей компании.
2. Получение прав через SQL-сервер. Как только произошло подключение к службам, которые управляют реляционными базами данных, телефония становится доступной. «Недоброжелателю» достаточно выполнить пару запросов для создания нового «юзера», наделенного функциями администратора. После чего он беспрепятственно завладевает SIP-сервером.
3. Получаются данные для идентификации, чтобы выполнить вход в интерфейс устройства или систему от имени пользователя. Зная эту информацию, относящуюся к оборудованию, взломщик производит регистрацию своего телефона на SIP-сервере Вашего юридического лица, после чего получает возможность звонить на международные направления. Логин и пароль позволяет беспроблемно войти в клиентское приложение.
4. Непродуманная маршрутизация. Часть атак выстроена на попытках позвонить напрямую в тот момент, когда Вам звонят. Чтобы обезопасить себя от такой попытки взлома, необходимо проверить замкнутость всех поступающих звонков на конечном персонале. Стоит помнить, что соединения не разрываются автоматически. Это часто приводит к зацикленности в логике сценариев и некорректной работе телефонии.
5. Проникнув в интерфейс периферийных устройств (шлюзов, роутеров и т. п.). Для этого взломщик использует резервное копирование — «бэкап» конфигурации. Таким способом он получает полную базу учетных записей, необходимых для проникновения в сервисное программное обеспечение организации. Для подключения к IP-телефонии ему нужно только восстановить «бэкап» на своем устройстве. Используя простые данные для идентификации (типа «admin — admin»), становится намного легче добраться к элементам управления. На публичном IP-адресе настоятельно рекомендуется усложнять процедуру входа.
6. DDOS-атаки. Осуществляются с целью добиться кратковременного выхода из строя системы. Сначала находится любой порт сервера Вашей компании, способный откликаться на часть запросов. Временной интервал между ними равен миллисекундам. В результате все ресурсы задействованы на ответы, а не на текущее функционирование оборудования. Специалисты рекомендуют перекрыть такие «лазейки» посредством блокировки.

Меры защиты IP-телефонии Вашей компании

Для ознакомления предлагается несколько вариантов обеспечения безопасной эксплуатации телефонных коммуникаций. Владея информацией о каждом, можно значительно уменьшить риски взлома.

С помощью инструментов Firewall, брандмауэр или антивирусов

Необходимо следовать следующим рекомендациям:
• Установить ограничения через протокол удаленного рабочего стола (обычно порт обозначается 3389), задав только IP-адреса, которым не запрещено соединяться с сервером.
• Исключить прием запросов по открытым каналам от неидентифицированных IP-адресов, оставив только те, которые привязаны к сотрудникам Вашего предприятия. Не стоит забывать, что установленные приложения, расширяют перечень потенциальных IP-адресов.
• Отключить все процессы, в которых отсутствует необходимость использования. Именно на открытых портах такие службы особенно уязвимы для DDOS-атак. Найти полный их перечень можно в командной строке.
• Разрешить устанавливать подключаться к удаленному SQL-серверу только опознанным адресам. Обязательно смените стандартные учетные записи, используемые для авторизации.

Через виртуальные частные сети

Необходимо провести ряд простых мероприятий, а именно:
• Создать VPN-сеть, через которую будут подключаться все клиентские приложения и телефония, работающая по протоколу IP. Разрешить подсоединяться к виртуальной частной сети только определенному кругу лиц. При такой организации становится невозможным перехват трафика с открытых каналов. Единственное, не всегда получается корректно настроить VPN на мобильных устройствах.
• Разделите сеть юридического лица на несколько — создайте отдельные для SIP-телефонии, клиентских приложений и провайдеров связи. Так уменьшаются риски, что кто-либо по-другому настроит работу телефонов через персональные компьютеры персонала.

С помощью изменения серверного конфигурационного файла

Рекомендации сводятся к следующему:
• Большинство Brute Force-атак направлена на SIP-порт со стандартными значениями (5060). Поэтому необходимо их изменить на другие.
• Проверьте заблокированы ли логин и пароль администратора, устанавливаемые по умолчанию. Достаточно добавить одного юзера с функциями управления и контроля, чтобы такая информация исчезла.
• Программа позволяет заблокировать в автоматическом режиме IP-адреса, которые выполнили пару неудачных авторизаций.
Основная масса атак по регистрации не идентифицированного IP-адреса производится от User-Agent Friendly-scanner. Защита от таких пакетов предусмотрена в более поздних версиях (с 121212), которые дополнительно фильтруют другие виды User-Agent через серверный конфигурационный файл.

Рекомендации по настройкам работы сервера Oktell

• При внесении информации для учетных записей как пользователей, так и подключаемых аппаратных средств следует пользоваться только усложненными паролями — чередовать верхний с нижним регистрами, задействовать буквы и цифры. Чем более простые сведения ввел интегратор, тем проще будет скан-машинам подобрать правильную комбинацию. Названная платформа имеет функцию генерации пароля, которой рекомендуется пользоваться при добавлении нового аккаунта, подключаемого к коммуникациям.
• Разработчики программы, начиная с версий 130130, добавили опцию, которая не позволит позвонить от Вашего предприятия, если выставлен соответствующий запрет. В результате заблокируются все звонки, которые не соответствуют заданным требованиям. Можно самостоятельно добавлять как нежелательные, так и разрешенные номера и маски.
• Своевременно обновляйте программное обеспечение. Каждая новая версия отличается более оптимизированной работой и содержит дополнительные варианты защиты.

Настраиваем правильно маршрутизацию

Специалисты настоятельно советуют контролировать, куда звонит Ваш персонал. Для этого разработчики предлагают несколько алгоритмов:
• IVR — создание определенного маршрута для исходящих звонков или только при их переключении;
• Служебный сценарий, используемый для автодозвона, набора быстрых, а также городских линий;
• Любой маршрутизатор, позволяющий переходить на городские и междугородные направления.
Для препятствования несанкционированному доступу при выполнении международных соединений предусмотрено введение определенного кода (ПИНа), при неправильном наборе которого контролер получает соответствующее уведомление, что позволит ему обратить внимание на возникшую проблему и предпринять нужные действия. Также описанные мероприятия позволяют обеспечить маршрутизацию по пользователям, исходя из их предназначений.
Еще можно выполнить блокировку телефонов в выходные дни и неустановленное время — программа «пресечет» любые попытки.
Каждый принятый алгоритм для Вашей коммуникационной платформы может иметь инструмент, отвечающий за доступ к линиям операторов связи. Поэтому достаточно пользоваться одной процедурой программы и выполнять все операции в ней. Оставшиеся сценарии следует настроить так, чтобы они осуществляли полный перечень требуемых проверок безопасности.

Рекомендации по настройкам периферии

Описанные ниже советы относятся только к аппаратным средствам, получить доступ к которым можно из вне.
Специалисты рекомендуют:
• Всегда заменять стандартные сведения для аутентификации на любых носителях.
• Придумывать длинные (не менее 15 знаков), сложные комбинации цифр и букв при создании учетных записей. Многое оборудование не имеет функцию подсчета всех попыток входа, поэтому оно легко взламывается путем подбора.
• Применять внешний брандмауэр, который отфильтрует трафик от нежелательных абонентов.
• Вывести все аппараты на отдельную VPN. Пользователи не смогут изменить его рабочие параметры.
• После проведения всех заданных настроек отключите веб-интерфейс. Включается обратно он через меню. Это позволит избежать внесения каких-либо изменений.
• Для IP-телефонов, находящихся в так называемом открытом адресе, следует изменить обозначение стандартного порта. На каждый SIP-запрос оборудование предоставляет сведения о своей прошивке. В интернете доступны разнообразные варианты багов, воспользовавшись которыми взломщик без труда проникнет в интерфейс любого носителя.

Организационные меры

Обеспечить неприкосновенность IP-телефонии Вашего предприятия можно с помощью ряда административных решений.
• Поинтересуйтесь у провайдера о существовании услуг, позволяющих защититься от взлома во время выполнения международных соединений.
• Если Ваше предприятие не нуждается в платных направлениях, рекомендуется на них выставить запрет у своего оператора связи.
• Ограничьте через провайдера попытки набора номеров через определенные IP-адреса.
• Авансовая оплата, а также выставление ограничений на максимальную сумму расходов позволит не уйти в большой минус при проникновении в систему. Своевременная блокировка сохранит денежные средства Вашей компании.

Если взломщик пытается подобрать комбинацию с помощью звонка на внешний номер

На практике встречались ситуации, когда на SIP-телефоны операторов call центра поступали сигналы от абонентов с названием Unknown. Явление носило массовый характер и длилось порядка 20-ти минут, пока не произошла полная перезагрузка.
После анализа отчетов обнаружилось около 40 входящих запросов с именем Unknown. Избежать такой ситуации помогут следующие мероприятия:
• Настройка сетевого экрана и запрет неопознанных вызовов.
• Отказ от шлюза «без регистрации», который принимает любые неизвестные звонки. Можно просчитать потенциальное число звонящих с не идентифицированных номеров и оставить для них пару линий.
• Фильтровать подозрительные факты с помощью алгоритма, прописанного в основном сценарии IVR для входящей маршрутизации.
• Контролировать, чтобы нежелательные внешние звонки не смогли попасть через маршрутизатор к операторам, тем самым обеспечив доступ взломщикам к сетям общего пользования, минуя провайдеров.
• Специалисты советуют избегать бесконечного цикла ожидания во время переключения входящих звонков. Атакующие программы, действующие в автоматическом режиме, не смогут прервать соединения, но это не помешает им постоянно занимать канал. В такой ситуации будет легче проанализировать кому это могло понадобиться.
• Сформировать сложные, трудные для подбора учетные записи на всех IP-телефонах.

В описанной выше ситуации злоумышленникам ничего не удалось, т. к. все входящие снаружи сигналы замыкались на секретарях. Единственным неблагоприятным последствием стала невозможность нормально выполнять работу из-за постоянной занятости линии. Небольшое количество звонящих связано с ограниченным числом транков. Оставшиеся «отбивались» в маршрутизаторе, так как им не хватало каналов в шлюзе для противодействия атаке. Этого можно было избежать — просто не нужно было задействовать шлюз для соединения с подозрительными абонентами. Достаточно задействовать пару транков вместо 40, чтобы аппаратный маршрутизатор стал отдельной единицей в сетевой карте. Тогда IP-телефония сохранит работоспособность.
Для серверной группы можно выделить внешний IP-адрес и внедрять на нем различные процессы, обслуживая любые неопознанные вызовы. Достаточно иметь в виду возможность сетевых атак и своевременно принимать меры.
Специалисты IT-сферы при построении защиты для АТС рекомендуют придерживаться одного простого правила — лучше разрешить тому, кому можно, чем запретить тем, для которых нельзя.
Атакующая сторона всегда найдет любое слабое место в системе безопасности. Об этом никогда не стоит забывать.

Звоните: МТС + 375 (29) 888-86-45, Велком + 375 (29) 199-44-33, + 375 (17) 388-04-55