+7 (812) 336-42-42

Напишите в мессенджер
Позвоните мне
Личный кабинет

+7 (812) 336-42-42

ГлавнаяМинимальный и Обязательный список действий по предотвращению взлома IP-АТС, на примере программной АТС Asterisk

Минимальный и Обязательный список действий по предотвращению взлома IP-АТС, на примере программной АТС Asterisk

  1. Обязательно измените номер порта SIP, на котором происходит взаимодействие Asterisk с оборудованием Телфин и вашими внутренними телефонами. Оборудование Телфин поддерживает любой номер порта со стороны абонента. Также измените порты IAX и SSH.
    • SIP: Настройка порта производится в файле sip.Conf в секции general, например для того чтобы настроить порт 6655 необходимо указать: bindport=6655
    • SSH: Новый порт не должен конфликтовать с уже открытыми в системе портами. Изменить его можно в файле /etc/ssh/sshd_config. Укажите новый номер порта SSH в настройке Port и раскомментируйте строку путем удаления знака #(решетка). Затем перезапите sshd командой: service sshd restart
    • IAX: Настройка порта производится в файле iax.conf Измените порт на любой свободный и перезапустите Asterisk командой /etc/ininit.d/asterisk restart

  2. Настройте ваш Firewall на пропуск сигнального SIP-трафика только для обмена с IP- адресом оборудования Телфин(при стандартном подключении это адрес sip.telphin.com/213.170.92.166/95.161.144.20);
    Для того, чтобы после настроек firewall-а не возникло проблем с прохождением голосового RTP(UDP) трафика, ввиду того, что на вашу АТС (при работе через сервер sip.telphin.com/213.170.92.166/95.161.144.20) он поступает напрямую с терминирующих узлов (списка которого нет, ввиду того что они могут меняться), необходимо в firewall-е разрешить весь UDP трафик по всем голосовым портам, используемым сервером АТС для обмена голосовым трафиком. При этом важно помнить, что эти порты должны быть доступны исключительно для обмена голосовым трафиком. Поэтому рекомендуем заранее определиться, что это будут за порты (по умолчанию в Asterisk-е это порты 10тыс.-20тыс) и отрыть только их.

  3. Запретите правилами firewall-а подключение к вашему серверу АТС любым способом по рабочим портам, служащим для управления данным сервером, с произвольных IP-адресов сети интернет. Разрешите по ним доступ только с авторизованных вами IP-адресов.

  4. Запретите правилами firewall-а подключение, с произвольных IP-адресов сети интернет, к вашей локальной сети, в которой находятся SIP-телефоны, работающие как с вашей IP- АТС, так и напрямую с сервером Телфин. Разрешите к ней доступ только с авторизованных вами IP-адресов.

  5. Ограничьте правилами вашего Firewall, список адресов и сетей, с которых подключаются ваши IP-телефоны и адаптеры. Для данной настройки в Asterisk-e используйте параметры Deny/Permit. Например:
    • Deny=0.0.0.0/0.0.0.0
    • Permit=213.170.92.166
    • Permit=95.161.144.20
    • Permit=192.168.X.0/24
    где:
    213.170.92.166 и 95.161.144.20 — адреса сервера регистрации Telphin,
    192.168.X.0/24 — пример диапазона IP адресов вашей локальной сети, из которой будет происходить подключение телефонов

  6. Создайте пользователя с правами доступа только по SSH. Например, создайте пользователя asterisksshONLY(настоятельно рекомендуем придумать свой уникальный логин) и задать ему свой уникальный пароль. Пароль должен содержать спец.символы, цифры и буквы в разном регистре.
    • # useradd asterisksshONLY
    • # passwd asterisksshONLY
      Отредактируйте /etc/ssh/sshd_config, добавив в него следующую строчку: AllowUsers asterisksshONLY
    • Запретите пользователю root подключаться к серверу Asterisk по SSH: PermitRootLogin no;

  7. Измените все стандартные пароли доступа к вашим ресурсам.
    В частности это пароли:
    • доступа в настройки SIP устройств, как на их веб.интерфейс, так и через командную строку,
    • абонентов в АТС,
    • администраторов и менеджеров АТС,

  8. Использование сильных паролей — это шаг, возможно, наиболее важный в организации защиты любой сети! Если бы вы видели на сколько сложны и интеллектуальны средства подбора паролей, вы бы поняли, на сколько легко обходят тривиальное запутывание современные процессоры! Поэтому:
    • не создавайте паролей, которые состоят из двух слов!
    • не добавляйте к слову из словаря цифру 1!
    • используйте символы, числа и буквы верхнего и нижнего регистра!
    • длину пароля делайте не менее 12 символов!

  9. Ограничьте количество одновременных исходящих вызовов, поступающих с ваших внутренних телефонов. В настройках Asterisk за это отвечает строка Call-limit=1, прописанная в настройках ваших внутренних абонентов; Так Вы ограничите действия мошенников, которые уже подобрали правильное имя пользователя и пароль. Следите за тем, чтобы легитимные пользователи хранили свои пароли в тайне, а не записывали пароль прямо на корпусе SIP телефона! Бывает и такое!

  10. Блокируйте порт интерфейса управления Астериском (AMI). В файле конфигурации manager.conf используйте строки «permit=» и «deny=», чтобы сузить входящие соединения с интерфейсом управления только для доверительных хостов. Как и на этапе «Сильный пароль», создавайте сложные пароли длиной не менее 12 символов.

  11. Отключите ответ о неверном пароле со стороны Asterisk. По умолчанию Asterisk выдает одну ошибку о неверном пароле для существующего аккаунта и другую для несуществующего аккаунта. Существует множество программ для подбора паролей, поэтому злоумышленнику не составит труда проверить все короткие номера и собирать пароли лишь к существующим аккаунтам, которые ответили «неверный пароль». Чтобы помешать этому, поменяйте строчку в файле /etc/asterisk/sip.conf: alwaysauthreject = no на alwaysauthreject = yes и перезапустите Asterisk. После такой настройки, Asterisk будет отвечать одинаково для любых неверных авторизации «401 Unauthorized» и не сообщать подробностей.

  12. Ограничьте список доступных для набора телефонных кодов стран и направлений, которые используются вашими сотрудниками.
    • Не рекомендуется использовать дефолтные маршруты, типа Exten => _X.,1,Hangup.
    • Рекомендуется указывать маршруты по точным с кодам городов, операторов мобильной связи и МН кодов(если они вообще нужны), например: [+7|8][0- 68]XXXXXXX, [+7|8]9ХХXXXXXXX, [+7|8]7ХХXXXXXXX и т.д.

На обычных линиях сети Телфин есть возможность авторизовывать вызовы по IP-адресу, с которого они приходят(в случае наличия у АТС статического внешнего IP-адреса) и полю «From», соответствующему номеру линии клиента. Это дает возможность вообще не указывать пароль устройства в настройках АТС(и тогда его невозможно будет выкрасть). Также можно попросить тех.поддержку Тефлин сменить текущий пароль линии для работы оборудования и не сообщать вам новый. Т.о. именно Телфин будет нести ответственность за сохранность текущего пароля ваших линий — до тех пор, пока вы не попросите сообщить вам снова пароль вашей линии. Для этого необходимо написать соответствующий запрос на адрес support@telphin.ru с вашего контактного эл.адреса, указанного в данных личного кабинета https://cabinet.telphin.ru/

В виртуальной АТС Телфин.Офис есть возможность жестко определить IP-адреса, с которых разрешена регистрация на добавочных. Настройка выполняется индивидуально для каждого добавочного. Данная настройка будет полезна в том числе и при настройке других АТС на добавочные Телфин.Офиса. В случае необходимости выполнения данной настройки, необходимо написать соответствующий запрос на адрес support@telphin.ru с вашего контактного эл.адреса, указанного в данных личного кабинета https://cabinet.telphin.ru/

ОБРАЩАЕМ ВАШЕ ВНИМАНИЕ, что описанное выше не является панацеей и/или полным описанием всех возможных мер безопасности по защите вашей АТС. Но их соблюдение точно сведет к минимуму возможность позвонить через ваш аккаунт у оператора телефонии и тем самым сохранить ваши деньги.

Если вы желаете получить еще большую защиту, вы можете воспользоваться нашим решением Телфин.VoiceVPN

Top.Mail.Ru