Выбрать страну:   Выбрать язык:    
RU ENG  
версия для печати

Основы безопасности телефонной системы от 3CX. Часть 2

06 апреля'2023

Во второй статье цикла автор рассматривает максимально эффективные практики обеспечения безопасности IP-АТС 3CX.


Включите глобальный черный список IP-адресов

e0eb62b61647ba7a5808a1819e081cba.png

Глобальный черный список IP-адресов 3CX — важная функция безопасности, включенная по умолчанию после установки 3CX. Функция позволяет автоматически блокировать IP-адреса, подозреваемые в атаках.

Системы, в которых эта функция отключена, сразу попадают в зону риска. Если черный список не работает, в журнале событий IP-АТС будут появляться попытки неуспешной регистрации от поддельных SIP user-agent: Polycom VVX, Asterisk, Avaya и пр. Это свидетельствует о большом количестве ботов-сканеров, пытающихся "пробить" IP-АТС с помощью брутфорс-атаки и получить SIP-регистрацию вместо легального пользователя.

Как правило, атаки обычно идут из-за VPN, от скомпрометированного сервера или SIP-устройства; однако они могут идти и от вполне легального сервера, который неверно настроен (в этом случае он становится открытым ретранслятором SIP-запросов, когда хакеры отправляют IP-АТС компании запросы REGISTER от имени чужих серверов).

Ограничьте доступ к портам

Если администратор оставляет даже некоторые порты IP-АТС открытыми для всего мира, можно ожидать неприятностей. Например, порт SIP 5060 (UDP/TCP) должен быть открыт только для нескольких доверенных IP-адресов — чаще всего это адреса удаленных офисов и подключенных SIP-операторов. Перечислим типичные ошибки конфигурации.

Доступ к интерфейсу IP-телефона "из мира"

В некоторых ситуациях веб-интерфейс телефона или шлюза свободно доступен через интернет. Часто сам администратор открывает HTTP/HTTPS порты на WAN-интерфейсе роутера для удаленной настройки устройств. Никогда не стоит этого делать! Открытые порты опасны рядом серьезных рисков:

  • прошивка вендора может иметь уязвимости, а обновления не производятся или не делаются вовремя;
  • на оборудовании оставлен пароль вендора по умолчанию;
  • уязвимость нулевого дня может быть обнаружена на устройстве и тут же использована хакерами;
  • поиск уязвимых устройств производится с помощью специализированных систем, таких как Shodan.

Все VoIP-оборудование компании должно располагаться за NAT и не быть доступным из внешнего мира. Если администратору необходим удаленный доступ, лучше установить на один из внутренних компьютеров ПО удаленного администрирования и подключаться к устройствам через него.

Доступ к порту SSH

Открытый стандартный порт SSH (TCP 22) для управления Linux будет целью постоянных брутфорс-атак. Syslog-файл auth.log (записи о попытках входа с различных IP-адресов) будет расти на глазах.

Совмещение различных сервисов

Если на сервере 3CX работают еще какие-то приложения, это увеличивает общую уязвимость системы. Например, дополнительные веб-сервисы являются потенциальной мишенью для атак. Общее правило: закрыть все возможные порты, оставляя для работы 3CX только критически необходимые. Этого можно достигнуть правильной настройкой сетевого экрана.

Защитите резервные копии паролем

aadc154f69515e103f0bbc7a7a6b6183.png

Специалисты 3CX сталкивались со случаями взлома систем через украденный файл бэкапа. Поэтому 3CX рекомендует использовать шифрование резервных копий на всех системах компании, причем с разными паролями. Также не стоит использовать единое хранилище для всех резервных копий: если оно будет скомпрометировано, злоумышленники получат доступ сразу ко всем системам. Также хранилище может выйти из строя и стать единой точкой сбоя.

Ограничьте доступ к интерфейсу управления

f4df5b1e7274fb8209ae671fd82c1927.png

Необходимо установить, с каких адресов администратор в принципе может управлять 3CX. Подключение с другого IP, даже с правильными учетными данными, будет сразу отклонено системой.

Включите уведомления на email

c2a6ff2b3a118c8c2d1f6cf24632f967.png

В 3CX предусмотрена отправка различных email-уведомлений для мониторинга IP-АТС в реальном времени. Они позволяют оперативно получать информацию о подозрительных событиях, связанных со звонками и безопасностью. 3CX рекомендует включить эти уведомления и указать несколько email-адресов администраторов через запятую. Настройки уведомлений находятся в разделе "Параметры" -> "Почта". В таблице ниже описаны события, при возникновении которых система отправляет уведомления.

part2.jpg

Просматривайте журнал аудита

96c6b19d497abd245b985e333134a1fa.png

В 3CX v18 появился журнал аудита, что позволяет администратору отслеживать любые изменения, сделанные в интерфейсе управления IP-АТС (другим администратором или пользователем с соответствующими правами). Каждое событие в журнале содержит метку времени, имя пользователя, IP-адрес пользователя и протокол сделанного изменения (параметры до и после). Журнал аудита включается на странице Главная. Содержимое журнала можно также экспортировать в формат .csv.

Защита на стороне оператора

Кроме настроек на стороне 3CX, дополнительные средства обеспечения безопасности предоставляют клиентам и VoIP-операторы, обслуживающие компанию. Для этого в аккаунте компании у оператора необходимо изменить следующие параметры:

  • ограничения вызовов по странам: установить аналогично настройкам 3CX;
  • предельное число одновременных вызовов через оператора;
  • лимит средств и запрет автоматического пополнения баланса;
  • уведомление на email и автоматическое блокирование аккаунта при появлении подозрительных вызовов.

Заключение

Возможно, советы специалистов 3CX могут показаться слишком простыми. Но следуя им, можно не только избежать потенциальных рисков, но и подтвердить свою репутацию профессионала.


Основы безопасности телефонной системы от 3CX. Часть 1

Источник: блог компании 3CX




Возврат к списку

Москва: +7 (495) 926-2644
Казань: +7 (843) 558-0068
Самара: +7 (846) 211-5510
Санкт-Петербург: +7 (812) 748-2644
Ростов-на-Дону: +7 (863) 333-2644
Екатеринбург: +7 (343) 288-7644
Новосибирск: +7 (383) 383-2644
Панельные компьютеры и мини-ПК Панельные компьютеры и мини-ПК
© ООО "АйПиМатика", 2010-2024
Подписаться на рассылку
Создание сайта - ICO