Как защитить IP-АТС Komunikator от взлома и хакерских атак

10, Март 2015

Основная масса всех современных  IP-АТС подвержена хакерским атакам и взломам, а развитие IP-технологий, рост популярности в использовании IP-АТС приводит только к их увеличению и совершенствованию. В настоящее время большинство программных АТС, основанных на IP-технологии, написаны на свободном ПО с открытым исходным кодом, что дает злоумышленникам еще больше шансов взломать вашу АТС.  
Внимание!!! Ответственность за защиту IP соединений и обеспечение безопасности сервера IP-АТС от несанкционированных атак и взлома лежит в зоне ответственности пользователя. Все необходимые мероприятия по защите и обеспечению безопасности ложатся прежде всего на плечи пользователя IP-АТС.  Производитель не несет ответственности за несанкционированные подключения к АТС.

Разберемся, как же выглядит типичная хакерская атака:

Во время атаки в нерабочее время сервер IP-АТС инициирует длительные исходящие вызовы на платные номера, которые обычно зарегистрированы за границей. При этом подключение происходит по всем имеющимся внешним линиям. Как только разговор прерывается, сервер IP-АТС сразу же совершает следующий вызов, и так продолжается до тех пор, пока у вас не будет достигнут порог отключения на лицевом счете IP-провайдера.
Хакерскую атаку можно разбить на несколько составляющих:

  • Сначала происходит сканирование порта 5060; 
  • Далее происходит попытка регистрации на сервере в качестве внутреннего пользователя;
  • И после подключения к АТС начинается процесс инициирования исходящих вызовов.

Для совершения своих атак обычно хакеры выбирают ночное время в выходной или праздничный дни.

Так как защитить себя от возможных атак и финансовых потерь?

Защитить себя не так уж и сложно, главное соблюдать элементарные правила безопасности. Смысл защиты заключается в том, чтобы исключить возможность регистрации внутреннего абонента извне на сервере телефонии. Если же существует необходимость в этом, то реализовывать такую возможность надо с использованием технологии VPN.

Правила по обеспечению безопасности IP-АТС:

  • Не используйте логин и пароль по умолчанию для доступа к АТС.

Необходимо изменить все пароли (в Web-интерфейсе, а также в SSH-консоли) на более сложные. Пароли не должны быть типа: 1234, qwerty, admin, root и т.д. Для создания паролей можно воспользоваться бесплатной утилитой Pwgen. Pwgen -это  консольный генератор паролей в Linux, с помощью которого случайным образом можно сгенерировать уникальные и криптостойкие пароли для каждого пользователя IP-АТС.

  • Настройте расписание работы АТС таким образом, чтобы исключить исходящие звонки в нерабочее время компании. 
  • При создании внутренних номеров абонентов не использовать стандартные комбинации логина/пароля. Придумать сложный пароль поможет утилита Pwgen.
  • При регистрации SIP абонентов используйте нестандартные порты, которые средствами NAT в локальной сети можно преобразовать в типовые порты для установки SIP соединений.
  • Отключить или постараться минимизировать лимиты на связь в личном кабинете у операторов IP-телефонии.
  • Если ваш бизнес не связан с международными звонками, то отключить международное соединение у оператора, предоставляющего услуги связи.

Если Вы хотите совсем скрыть Web-интерфейс от посторонних глаз, можно воспользоваться SSH-туннелированием.

Для этого необходимо:

  • Закрыть порт 80 (http) на сервере где установлен Komunikator следующей командой:

sudo iptables -i eth0 -A INPUT -p tcp --dport 80 -j DROP
где eth0 - название интерфейса через который сервер подключен к сети (можно узнать, вызвав командой sudo ifconfig - команда, которая показывает список всех интерфейсов в системе).

  • Установить пакет, позволяющий iptables сохранять текущие настройки:
sudo apt-get install iptables-persistent 
в появившихся окнах отвечаем Yes. 
  • Для доступа к Web-интерфейсу использовать порт 80 через SSH-туннель. Для создания SSH-туннеля удобно использовать Bitvise SSH Client или Putty. Настройка проходит в несколько этапов:
Для начала настраиваем подключение:

komunikator_ru-security ats komunikator.jpg

Снимаем галочки "Open terminal" и "Open SFTP". Для доступа к Web-интерфейсу они не понадобятся:

komunikator_ru-security ats komunikator 2.jpg

Указываем какие порты нужно туннелировать. Обратите внимание, направление должно быть C2S (Client to Server):

komunikator_ru-security ats komunikator 3.jpg

Сохраняем профиль, нажимая на следующую кнопку:

security ats kom 5.jpg

И подключаемся, нажимая "Login".

Подтверждаем, нажав кнопку "Accept and Save"(однократно, при первом подключении):

komunikator_ru-security ats komunikator 4.jpg

Теперь можно подключаться и работать с веб-интерфейсом через SSH-туннель. Извне он больше не будет доступен.

komunikator_ru-security ats komunikator 7.jpg

Надеемся, что данная статья поможет сохранить безопасность вашей АТС. Не поленитесь потратить немного времени на настройку безопасности, чтобы сократить риски и обезопасить ваш бизнес от хакерских атак. 

ПОДПИСАТЬСЯ

Модуль Email-маркетинга в настоящее время недоступен.