Основы безопасности телефонной системы от 3CX. Часть 2
Во второй статье цикла автор рассматривает максимально эффективные практики обеспечения безопасности IP-АТС 3CX.
Включите глобальный черный список IP-адресов
![e0eb62b61647ba7a5808a1819e081cba.png e0eb62b61647ba7a5808a1819e081cba.png](/upload/medialibrary/923/fi4fcwn9e8ma01pt6pete9m63pnk47lp/e0eb62b61647ba7a5808a1819e081cba.png)
Глобальный черный список IP-адресов 3CX — важная функция безопасности, включенная по умолчанию после установки 3CX. Функция позволяет автоматически блокировать IP-адреса, подозреваемые в атаках.
Системы, в которых эта функция отключена, сразу попадают в зону риска. Если черный список не работает, в журнале событий IP-АТС будут появляться попытки неуспешной регистрации от поддельных SIP user-agent: Polycom VVX, Asterisk, Avaya и пр. Это свидетельствует о большом количестве ботов-сканеров, пытающихся "пробить" IP-АТС с помощью брутфорс-атаки и получить SIP-регистрацию вместо легального пользователя.
Как правило, атаки обычно идут из-за VPN, от скомпрометированного сервера или SIP-устройства; однако они могут идти и от вполне легального сервера, который неверно настроен (в этом случае он становится открытым ретранслятором SIP-запросов, когда хакеры отправляют IP-АТС компании запросы REGISTER от имени чужих серверов).
Ограничьте доступ к портам
Если администратор оставляет даже некоторые порты IP-АТС открытыми для всего мира, можно ожидать неприятностей. Например, порт SIP 5060 (UDP/TCP) должен быть открыт только для нескольких доверенных IP-адресов — чаще всего это адреса удаленных офисов и подключенных SIP-операторов. Перечислим типичные ошибки конфигурации.
Доступ к интерфейсу IP-телефона "из мира"
В некоторых ситуациях веб-интерфейс телефона или шлюза свободно доступен через интернет. Часто сам администратор открывает HTTP/HTTPS порты на WAN-интерфейсе роутера для удаленной настройки устройств. Никогда не стоит этого делать! Открытые порты опасны рядом серьезных рисков:
- прошивка вендора может иметь уязвимости, а обновления не производятся или не делаются вовремя;
- на оборудовании оставлен пароль вендора по умолчанию;
- уязвимость нулевого дня может быть обнаружена на устройстве и тут же использована хакерами;
- поиск уязвимых устройств производится с помощью специализированных систем, таких как Shodan.
Все VoIP-оборудование компании должно располагаться за NAT и не быть доступным из внешнего мира. Если администратору необходим удаленный доступ, лучше установить на один из внутренних компьютеров ПО удаленного администрирования и подключаться к устройствам через него.
Доступ к порту SSH
Открытый стандартный порт SSH (TCP 22) для управления Linux будет целью постоянных брутфорс-атак. Syslog-файл auth.log (записи о попытках входа с различных IP-адресов) будет расти на глазах.
Совмещение различных сервисов
Если на сервере 3CX работают еще какие-то приложения, это увеличивает общую уязвимость системы. Например, дополнительные веб-сервисы являются потенциальной мишенью для атак. Общее правило: закрыть все возможные порты, оставляя для работы 3CX только критически необходимые. Этого можно достигнуть правильной настройкой сетевого экрана.
Защитите резервные копии паролем
![aadc154f69515e103f0bbc7a7a6b6183.png aadc154f69515e103f0bbc7a7a6b6183.png](/upload/medialibrary/367/it8hg3wvxlasz7rljvk1vkkmqf6rt5us/aadc154f69515e103f0bbc7a7a6b6183.png)
Специалисты 3CX сталкивались со случаями взлома систем через украденный файл бэкапа. Поэтому 3CX рекомендует использовать шифрование резервных копий на всех системах компании, причем с разными паролями. Также не стоит использовать единое хранилище для всех резервных копий: если оно будет скомпрометировано, злоумышленники получат доступ сразу ко всем системам. Также хранилище может выйти из строя и стать единой точкой сбоя.
Ограничьте доступ к интерфейсу управления
![f4df5b1e7274fb8209ae671fd82c1927.png f4df5b1e7274fb8209ae671fd82c1927.png](/upload/medialibrary/d30/my14z2fzel7428f2lbb9d7ihdo46b9ex/f4df5b1e7274fb8209ae671fd82c1927.png)
Необходимо установить, с каких адресов администратор в принципе может управлять 3CX. Подключение с другого IP, даже с правильными учетными данными, будет сразу отклонено системой.
Включите уведомления на email
![c2a6ff2b3a118c8c2d1f6cf24632f967.png c2a6ff2b3a118c8c2d1f6cf24632f967.png](/upload/medialibrary/d4a/qg03l2spm750dxsom2e9uka98q74e700/c2a6ff2b3a118c8c2d1f6cf24632f967.png)
В 3CX предусмотрена отправка различных email-уведомлений для мониторинга IP-АТС в реальном времени. Они позволяют оперативно получать информацию о подозрительных событиях, связанных со звонками и безопасностью. 3CX рекомендует включить эти уведомления и указать несколько email-адресов администраторов через запятую. Настройки уведомлений находятся в разделе "Параметры" -> "Почта". В таблице ниже описаны события, при возникновении которых система отправляет уведомления.
![part2.jpg part2.jpg](/upload/medialibrary/069/5vnrj43dyadc0mefq3qemq493txh8lns/part2.jpg)
Просматривайте журнал аудита
![96c6b19d497abd245b985e333134a1fa.png 96c6b19d497abd245b985e333134a1fa.png](/upload/medialibrary/a55/fdbby6mmwhs2a9cdyt04h3287by59j18/96c6b19d497abd245b985e333134a1fa.png)
В 3CX v18 появился журнал аудита, что позволяет администратору отслеживать любые изменения, сделанные в интерфейсе управления IP-АТС (другим администратором или пользователем с соответствующими правами). Каждое событие в журнале содержит метку времени, имя пользователя, IP-адрес пользователя и протокол сделанного изменения (параметры до и после). Журнал аудита включается на странице Главная. Содержимое журнала можно также экспортировать в формат .csv.
Защита на стороне оператора
Кроме настроек на стороне 3CX, дополнительные средства обеспечения безопасности предоставляют клиентам и VoIP-операторы, обслуживающие компанию. Для этого в аккаунте компании у оператора необходимо изменить следующие параметры:
- ограничения вызовов по странам: установить аналогично настройкам 3CX;
- предельное число одновременных вызовов через оператора;
- лимит средств и запрет автоматического пополнения баланса;
- уведомление на email и автоматическое блокирование аккаунта при появлении подозрительных вызовов.
Заключение
Возможно, советы специалистов 3CX могут показаться слишком простыми. Но следуя им, можно не только избежать потенциальных рисков, но и подтвердить свою репутацию профессионала.
Основы безопасности телефонной системы от 3CX. Часть 1
Источник: блог компании 3CX