Яндекс.Метрика

Asterisk Эксперт

Asterisk Эксперт с 30 ноября по 1 декабря

Количество
свободных мест

7 Записаться

Курс по Asterisk

Интенсив-курс по Asterisk с 25 ноября по 29 ноября

Количество
свободных мест

4 Записаться
Возможности Asterisk

Многоуровневая система защиты

Asterisk от взломов и прослушки
Не секрет, что сегодня огромные убытки коммерческим организациям и частным лицам приносят хакеры. Наиболее болезненными могут быть хакерские атаки, целью которых изначально является причинение вреда или прямое воровство средств.
Хотя Asterisk – это, в первую очередь, телефонная система, базируется она на компьютерной платформе. Клиенты и поставщики услуг обычно связываются между собой посредством использования Интернета. Получается, что некоторые сервисы системы становятся открытыми для внешнего мира. Хакеры могут подключаться к Вашей АТС и производить звонки на огромные суммы. Теоретически.
Но практически проделать свои операции им будет невероятно сложно, особенно если подготовиться и использовать те способы защиты, которые предлагает Asterisk.
Риски
Первым шагом при построении системы безопасности для решений по IP-телефонии является осознание возникающих рисков. В общем случае они могут быть разделены на четыре группы:
Перехват сессии, присвоение чужих прав, нарушение конфиденциальности и искажение содержания.
Вторжение в сеть через бреши, появившиеся вследствие разворачивания IP-телефонии.
Использование IPT-аппаратуры путем обмана или неавторизованного доступа.
Злоумышленные действия, направленные на ухудшение голосовых сервисов (атаки хакеров, DoS, вирусы).
Приложения IP-телефонии обычно включают ПО собственной разработки, которое располагается на открытых или коммерчески доступных аппаратных платформах и ОС (например, Windows, Linux, Unix). Количество серверов зависит от поставщика IPT-системы и от конкретных особенностей инсталляции. В типичном случае решение содержит IP-телефоны, сервер управления вызовами, выполняющий их маршрутизацию и прочие функции управления, и другое оборудование, такое как голосовые шлюзы, почтовые серверы, серверы для конференций и т.п.
Поэтому основные зоны риска могут быть связаны со следующими составляющими:
специфическое ПО поставщика;
аппаратная или программная платформа, на которой функционирует ПО;
коммуникации между компонентами решения;
другие сетевые устройства и приложения, которые имеют уязвимости, обусловленные дизайном или реализацией IPT-решения
Риски
Многоуровневая защита IP-АТС Asterisk
Особенности и необходимые средства защиты зависят от фактических компонентов, входящих в решение по IP-телефонии, IP-АТС Asterisk предлагает довольно мощную систему защиты от хакерских атак. Все компоненты системы защищены как нельзя лучше. Основные же компоненты, особенно часто подвергающиеся атакам, имеют дополнительную защиту:
Многоуровневая защита IP-АТС Asterisk
На уровне операционой системы: встроенные средства защиты Linux.
Многоуровневая защита IP-АТС Asterisk
На уровне Asterisk: защищенная конфигурация и автоматическое обновление ядра Asterisk.
Многоуровневая защита IP-АТС Asterisk
На уровне сторонних компонентов, которые следят за безопасностью Asterisk: системы автоматического слежения за логами Asterisk: Fail2Ban.
Многоуровневая защита IP-АТС Asterisk
На уровне VPN для защиты передаваемого трафика: использование OpenVPN или IPSec для передачи голоса, а также управления Asterisk.
Однако также следует помнить, что весьма важна также правильная установка и настройка защиты некоторых компонентов.
01
Сервер управления вызовами.
Это критический ресурс в IPT-системе. На нем содержится вся информация о пользователях, маршрутизации, сервисах, и он может управлять доступом к другим серверам. Сервер обычно функционирует под управлением коммерческой ОС, поэтому должны быть предприняты все стандартные меры безопасности, как-то отключение неиспользуемых сервисов, установка заплаток, применение ОС лишь для нужд управления вызовами.
Необходимо инсталлировать только безопасные ОС (например, Linux, Unix, встроенную RTOS), поставляемые ведущими производителями. Доступ к серверу должен быть разрешен лишь после аутентификации и авторизации.
02
Голосовой шлюз.
Голосовой шлюз обеспечивает преобразование данных в требуемый формат при прохождении их между IP-сетью и традиционной телефонной сетью. Шлюз должен поддерживать аутентификацию для любой конфигурации и модернизации ПО, обеспечивать защиту от атак типа DoS на границе IP-интерфейса, направлять все вызовы только через сервер управления вызовами, поддерживать шифрование как вызовов, так и голосового контента, а также выполнять аутентификацию медиапротоколов на пакетной основе.
03
IP-телефоны.
Аппараты должны иметь встроенные средства защиты в виде прошивок в ПЗУ. Это не позволит злоумышленнику вмешаться и разрушить функции защиты. Вдобавок конфигурационные установки следует защищать от модификаций. Большинство IP-телефонов оборудовано сетевым портом для ПК, так что пользователь нуждается только в одном Ethernet-кабеле. По умолчанию эти телефоны направляют все пакеты, полученные от коммутатора, на порт ПК. В типичном случае голосовой доступ к порту ПК запрещают, что позволяет отбрасывать голосовые пакеты, приходящие на этот порт.
Другой тип атаки может исходить из сети, а не из подключенного ПК. Так, по умолчанию большинство телефонов принимает пакеты Gratuitous ARP (GARP). Эти пакеты, также используемые некоторыми унаследованными сетевыми устройствами, могут быть применены атакующим для имитации реального сетевого устройства. К примеру, злоумышленник может послать GARP, который объявит маршрутизатор по умолчанию. IP-телефоны должны аутентифицировать себя на сервере управления вызовами или на прокси-сервере при начальной регистрации, поддерживать список управления доступом для управления любым входящим трафиком (например, H.323/SIP, RTP, HTTP, FTP, DHCP), обеспечивать при необходимости шифрование сигналов установки вызова и голосового контента.
Не все перечисленные риски могут иметь место в конкретной инсталляции IPT-системы, поэтому важно проводить общую политику безопасности, а при правильно построенной защите риски, связанные с разворачиванием IP-телефонии, могут быть эффективно уменьшены.
Уточняйте цену у менеджеров VoxLink
по телефону +7 (495) 989-85-33 или по электронной почте [email protected]

Здравствуйте!

Я - Виталий Шелест, руководитель проектов компании "Вокс Линк". Возникли вопросы по информации, представленной здесь? Не тратьте время на поиски: оставьте заявку и я свяжусь с Вами в течение 30 минут.

Ф.И.О
Виталий Шелест
Должность
Руководитель проектов
Тел. городской
8 (495) 989-85-33
Тел. внутрений
720

Наши
клиенты

Посмотреть все
Спасибо !
Мы свяжемся с Вами в ближайшее время
Проверка номера

Проверка номера

Быстро узнать мобильного или городского оператора. Впишите номер

Мы проверили номер

+7 846 254 51 02

МТС (с 2016)

Повторить