Безопасность IP-телефонии Asterisk
Стоит признать, что с развитием технологий параллельно развиваются и способы их разрушения чуждыми ресурсами, использования злоумышленниками с целью наживы. Проще говоря, чем лучше замки, тем квалифицированнее воры. Поэтому мы предупреждаем своих клиентов, насколько важно качественно защитить системы телефонии от хакерских действий. Ведь использование телефонной системы посторонними лицами может принести компании серьезные убытки. Платформа Аsterisk, базирующаяся на цифровых технологиях, к сожалению также подвержена опасности хакерских взломов. Опыт показывает, что сотрудники, клиенты либо партнеры, зарегистрированные в установленной телефонной сети в реализуют свои деловые контакты с помощью сети Интернет. То есть отдельная информация о деятельности вашей компании становится доступной внешним ресурсам. Поэтому теоретически вполне можно реализовать взлом системы с целью получить информацию, прогнать трафик для наживы и прочее.
Чтобы такая возможность осталась лишь в теории, но не была осуществима практически, компания VGDnet Media реализует полную систему защиты установленной телефонной сети. Чтобы знать, от чего защищаться, желательно четко понимать направления и уровни опасности.
Систематизируем возможные риски в несколько групп.
Во-первых, возможен вариант перехвата сессии связи, когда хакер, присваивая себе права пользователя может нарушить конфиденциальность, исказить содержание информации, что передается по сети.
Во-вторых, в процессе расширения сети IP-телефонии могут возникнуть «бреши» в действующей системе защиты, через них вполне вероятно вторжение.
В-третьих, аппаратуру могут использовать, получив пароли путем обманных действий или через неавторизованный доступ.
В-четвертых, злоумышленниками иногда выполняются целенаправленные действия для нарушения качества связи – помехи, вирусные атаки, DoS атаки.
Учтем, что используемые программы иногда находятся в открытом доступе в операционных системах, например, Linux. В зависимости от нужной конфигурации сети, устанавливается необходимое количество действующих серверов и другого оборудования. Поэтому в зоне риска может находиться и ПО, которое используется в системе, и аппаратная платформа, и сетевые коммуникации. К сожалению, все они могут иметь определенную долю уязвимостей. Вот потому и становится актуальным вопрос реализации защиты на многих уровнях.
Структура защиты IP-ATC Asterisk
Предлагая клиентам свои услуги, разумеется, мы создаем все условия, чтобы вышеперечисленные риски остались лишь в теоретическом изложении. Сама Asterisk имеет достаточно серьезную защитную систему для отдельных составляющих на различных уровнях: в операционной системе, в платформе Asterisk, в посторонних системах защиты, на уровне передаваемого трафика.
- Операционная система Linux обладает специальными встроенными средствами защиты
- Asterisk имеет гарантированную систему защиты и обновляемое ядро по умолчанию.
- При установке IP-телефонии реализуются также сторонние системы слежения за безопасностью (Fail2Ban), они работают в автоматическом режиме.
- IP Sec либо Open VPN, используемые для передачи голосовой информации и управления, защищаются на уровне VPN при передаче трафика.
Следует отметить, что несмотря на предустановленные системы защиты очень многое зависит от того, насколько правильно выполнены настройки, установка оборудования, от учета специфики выбранных конфигураций.
Критический объект для хакерских атак – сам сервер, что управляет звонками. Во-первых, он содержит всю информацию о действующих пользователях системы, о маршрутизации, о реализуемых сервисах. Если это сервер центрального офиса, то он еще управляет другими установленными в системе серверами, что делает его особо «лакомым кусочком» для взломщиков.
Именно поэтому к нему, кроме стандартного набора, необходимы еще и специальные меры. Это может быть отключение сервисов, что не функционируют в данный период времени, установка, так называемых, виртуальных заплаток. Обычно рекомендуют ОС применять лишь того, чтобы управлять вызовами, при этом важно использование только заведомо безопасных операционных систем (Unix, Linux). При этом важно, чтобы доступ к серверу разрешался только на основе авторизации пользователя.
Не менее важен для внедрения злоумышленниками голосовой шлюз, поскольку именно он преобразует формат данных при передаче в сети. А потому должна быть гарантия аутентификации, которую можно будет применить для необходимых возможных конфигураций сети и проведения модернизации ПО. Именно шлюз выполняет первичные функции защиты от DoS-атак, он реализует перенаправление вызовов только на сервер, отвечающий за эту функцию. К тому же шлюзом обеспечивается шифрование голосовой информации.
Особые средства защиты имеют IP-телефоны. Прошивки в ПЗУ предотвращают попытки вмешательства с целью разрушения защиты. При этом нужно учесть обязательность специальных конфигурационных установок, что будут защищать от модификаций.
Так как телефонные аппараты имеют сетевой порт ПК, пользователю необходим один интернет-кабель. Телефон отправляет каждый сигнал, что получен от коммутатора, на порт. Если запрещается доступ голосового сигнала к этому порту, то и все голосовые пакеты, направленные на него, будут попросту отброшены.
Атака, может происходить не от компьютера, а из самой сети. Обычно IP-телефоны оснащены пакетами GARP, что также могут стать орудием злоумышленников, имитирующих реально существующее устройство в сети с помощью сигналов. А потому важно, чтобы аппарат был обеспечен системой аутентификации себя на прокси-сревере уже на этапе регистрации, а также либо на том сервере, что выполняет за управление звонками. Добавим, что телефон должен иметь доступ для управления входящим трафиком (HTTP, H.323/SIP, FTP, RTP и прочими), а также шифровать голосовую информацию.
Перечисленные выше проблемы могут быть нейтрализованы правильными действиями профессионалов, которые обеспечат систематическую политику безопасности. Риски могут быть ощутимо уменьшены только профессиональными установками и настройками системы, что является гарантией от нашей компании.