Хакеры не пройдут!

Ваша безопасность — наша задача

Не секрет, что сегодня огромные убытки коммерческим организациям и частным лицам приносят хакеры. Наиболее болезненными могут быть хакерские атаки, целью которых изначально является причинение вреда или прямое воровство средств. Хотя Asterisk – это, в первую очередь, телефонная система, базируется она на компьютерной платформе. Клиенты и поставщики услуг обычно связываются между собой посредством использования Интернета. Получается, что некоторые сервисы системы становятся открытыми для внешнего мира. Хакеры могут подключаться к Вашей АТС и производить звонки на огромные суммы. Теоретически. Но практически проделать свои операции им будет невероятно сложно, особенно если подготовиться и использовать те способы защиты, которые предлагает Asterisk.

Риски

Первым шагом при построении системы безопасности для решений по IP-телефонии является осознание возникающих рисков. В общем случае они могут быть разделены на четыре группы:

  • перехват сессии, присвоение чужих прав, нарушение конфиденциальности и искажение содержания;
  • вторжение в сеть через бреши, появившиеся вследствие разворачивания IP-телефонии;
  • использование IPT-аппаратуры путем обмана или неавторизованного доступа;
  • злоумышленные действия, направленные на ухудшение голосовых сервисов (атаки хакеров, DoS, вирусы).  

Приложения IP-телефонии обычно включают ПО собственной разработки, которое располагается на открытых или коммерчески доступных аппаратных платформах и ОС (например, Windows, Linux, Unix). Количество серверов зависит от поставщика IPT-системы и от конкретных особенностей инсталляции. В типичном случае решение содержит IP-телефоны, сервер управления вызовами, выполняющий их маршрутизацию и прочие функции управления, и другое оборудование, такое как голосовые шлюзы, почтовые серверы, серверы для конференций и т.п. Поэтому основные зоны риска могут быть связаны со следующими составляющими:

  • специфическое ПО поставщика;
  • аппаратная или программная платформа, на которой функционирует ПО;
  • коммуникации между компонентами решения;
  • другие сетевые устройства и приложения, которые имеют уязвимости, обусловленные дизайном или реализацией IPT-решения.

Многоуровневая защита IP-АТС Asterisk

Особенности и необходимые средства защиты зависят от фактических компонентов, входящих в решение по IP-телефонии, IP-АТС Asterisk предлагает довольно мощную систему защиты от хакерских атак. Все компоненты системы защищены как нельзя лучше. Основные же компоненты, особенно часто подвергающиеся атакам, имеют дополнительную защиту.

  • на уровне операционой системы: встроенные средства защиты Linux.
  • на уровне Asterisk: защищенная конфигурация и автоматическое обновление ядра Asterisk.
  • на уровне сторонних компонентов, которые следят за безопасностью Asterisk: системы автоматического слежения за логами Asterisk: Fail2Ban.
  • на уровне VPN для защиты передаваемого трафика: использование OpenVPN или IPSec для передачи голоса, а также управления Asterisk.

  Однако также следует помнить,что весьма важна также правильная установка и настройка защиты некоторых компонентов. Сервер управления вызовами. Это критический ресурс в IPT-системе. На нем содержится вся информация о пользователях, маршрутизации, сервисах, и он может управлять доступом к другим серверам. Сервер обычно функционирует под управлением коммерческой ОС, поэтому должны быть предприняты все стандартные меры безопасности, как-то  отключение неиспользуемых сервисов, установка заплаток, применение ОС лишь для нужд управления вызовами. Необходимо инсталлировать только безопасные ОС (например, Linux, Unix, встроенную RTOS), поставляемые ведущими производителями. Доступ к серверу должен быть разрешен лишь после аутентификации и авторизации. Голосовой шлюз. Голосовой шлюз обеспечивает преобразование данных в требуемый формат при прохождении их между IP-сетью и традиционной телефонной сетью. Шлюз должен поддерживать аутентификацию для любой конфигурации и модернизации ПО, обеспечивать защиту от атак типа DoS на границе IP-интерфейса, направлять все вызовы только через сервер управления вызовами, поддерживать шифрование как вызовов, так и голосового контента, а также выполнять аутентификацию медиапротоколов на попакетной основе. IP-телефоны. Аппараты должны иметь встроенные средства защиты в виде прошивок в ПЗУ. Это не позволит злоумышленнику вмешаться и разрушить функции защиты. Вдобавок конфигурационные установки следует защищать от модификаций. Большинство IP-телефонов оборудовано сетевым портом для ПК, так что пользователь нуждается только в одном Ethernet-кабеле. По умолчанию эти телефоны направляют все пакеты, полученные от коммутатора, на порт ПК. В типичном случае голосовой доступ к порту ПК запрещают, что позволяет отбрасывать голосовые пакеты, приходящие на этот порт. Другой тип атаки может исходить из сети, а не из подключенного ПК. Так, по умолчанию большинство телефонов принимает пакеты Gratuitous ARP (GARP). Эти пакеты, также используемые некоторыми унаследованными сетевыми устройствами, могут быть применены атакующим для имитации реального сетевого устройства. К примеру, злоумышленник может послать GARP, который объявит маршрутизатор по умолчанию. IP-телефоны должны аутентифицировать себя на сервере управления вызовами или на прокси-сервере при начальной регистрации, поддерживать список управления доступом для управления любым входящим трафиком (например, H.323/SIP, RTP, HTTP, FTP, DHCP), обеспечивать при необходимости шифрование сигналов установки вызова и голосового контента. Не все перечисленные риски могут иметь место в конкретной инсталляции IPT-системы, поэтому важно проводить общую политику безопасности, а при правильно построенной защите риски, связанные с разворачиванием IP-телефонии, могут быть эффективно уменьшены.

Остались вопросы?

Я - Компаниец Никита, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование

ближайшие курсы

ближайшие Вебинары

ONLINE

10 доводов в пользу Asterisk

Распространяется бесплатно.

Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.

Безопасен в использовании.

Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.

Надежен в эксплуатации.

Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.

Гибкий в настройке.

Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.

Имеет огромный функционал.

Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.

Интегрируется с любыми системами.

То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.

Позволяет телефонизировать офис за считанные часы.

В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.

Отличная масштабируемость.

Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.

Повышает управляемость бизнеса.

Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.

Снижает расходы на связь.

Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.