Jak zabezpečit VoIP ústřednu před útokem?

Vladimír Toncar | 15.11.2011 | Bezpečnost, Internet a služby | Žádné komentáře

Článek navazuje na předchozí díl názvem Jakým způsobem lze napadnout VoIP ústřednu?, v němž byly rozebrány modelové situace připojení telefonní ústředny a podoba typického útoku hackera na ústřednu.

Jak se tedy před útoky na VoIP ústřednu bránit? Podívejme se na jednotlivá opatření a jejich aplikaci na modelové situace uvedené v předchozím článku na toto téma.

Silná hesla SIP
Z popsaného průběhu útoku je zřejmé, že ústředna pro kvalitní zabezpečení musí používat velmi silná hesla SIP. Toto je důležité při všech typech připojení, pro jistotu i v situaci kdy ústředna nemá přístup do internetu. Pokud mají uživatelé tendenci zadávat jednoduchá hesla, měl by administrátor přistoupit k důslednému vynucení politiky vynucování silných hesel či hesla nastavovat sám (toto je přístup, který využívá například produkt Kerio Operator).

Nastavení práv na volání
Další opatření vhodné ve všech modelových situacích je omezení práv na volání. Opatření vás chrání jak před zneužitím ze strany interních uživatelů, tak i v případě útoku zvenku. Jednoduše zakažte na ústředně volání do takových zemí, se kterými nepotřebujete komunikovat. Také zakažte hovory na národní čísla s vysokou tarifikací (různé erotické linky a podobně).

Nastavení firewallu
Použití firewallu je důležité především v situaci, kdy je telefonní server přístupný z internetu. Například pokud váš poskytovatel SIP připojení vyžaduje, aby vaše ústředna měla veřejnou IP adresu, nastavte firewall tak, aby propouštěl jen provoz z adresního rozsahu poskytovatele. V této situaci může být výhodné mít firewall i přímo na telefonním serveru. Například při použití open source serveru Asterisk na Linuxu je možné nastavit firewall IP Tables.

Ochrana před hádáním hesel
V některých situacích není jasné, z jakých IP adres či adresních rozsahů se budou vaši uživatelé připojovat. Proto nelze použít staticky nastavený firewall a je vhodné doplnit další úroveň ochrany. K tomu může docházet pokud vaši uživatelé používají softwarové telefony na mobilních telefonech. Mobilní sítě 3G už většinou mají dostatečnou propustnost na telefonování protokolem SIP a pro mobilní uživatele může být výhodné mít telefonní linku ze svojí kanceláře s sebou v kapse a trochu si tak snížit hovorné (pokud mají datové přenosy za paušál). Pokud je uživatel v pohybu a občas použije i připojení Wi-Fi v některé restauraci či kavárně, bude se jeho IP adresa měnit.

Vhodná další vrstva ochrany může být omezení počtu pokusů o zadání hesla pro jednotlivé IP adresy (například tak, že po třech chybách hesla bude daná IP adresa na 1 den zablokovaná). V případě použití ústředny Asterisk je potřeba to řešit přes externí nástroj, například program Fail2ban, který průběžně prohledává logy Asterisku a po nalezení stanoveného počtu hlášení o chybě hesla provede zablokování útočníka změnou v nastavení IP Tables.

Nastavení limitů hovorů
Pokud není možné, abyste u VoIP ústředně zakázali všechny potenciálně nebezpečné destinace (například vaši zaměstnanci potřebují telefonovat mezinárodně), je vhodné pro tyto směry volání nastavit alespoň limity pro počty hovorů nebo pro provolaný čas. Pokud se některý z limitů překročí, lze například reagovat tak, že ústředna upozorní administrátora. Pokud je limit nastavený tak, že jeho prolomení očekáváte jen při skutečném útoku, může bezpečnostní pravidlo dokonce zastavit všechen odchozí provoz, aby se zabránilo dalším ztrátám. Potom je úlohou správce, aby odstranil následky útoku a slabá místa v zabezpečení a uvedl telefonní ústřednu opět do provozu.

Závěr
Cílem tohoto článku bylo upozornit na potřebu ochrany telefonních ústředen fungujících na bázi VoIP a krátce informovat o metodách jak zajistit jejich bezpečné fungování. Je však důležití se zaobírat bezpečností podnikové sítě systematicky. Stejně jako zabezpečení ústředny se musíme věnovat i ostatním serverům v síti (a především firewallu) a také organizačním opatřením a proškolení uživatelů, aby se minimalizovalo riziko škod způsobených lidských faktorem.

Autor pracuje jako Product Development Manager ve společnosti Kerio Technologies.

Zdroj: Infoware.sk

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


dva − jedna =

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz