4 Ноя
2011
Рубрика: VoIP
Автор:    Комментариев нет

Отбиваемся от хакеров или недочеты в настройке VoIP шлюзов

В начале 2011 года приключилась история. Началось все с того, что в офис стали приходить звонки с номеров, начинавшихся на 810 — международные. А еще через некоторое время дозвониться нам стало просто невозможно, так как на одном из шлюзов оказались заняты абсолютно все линии. Очень странно, вы так не считаете?

Логи Asteriskа молчат, согласно им мы ни с кем не общаемся, а шлюз тем временем продолжает набирать заграницу, да какую: Зимбабве, Эфиопия, Афганистан… Такие вот хакеры-терористы, ворующие телефонный трафик. И все это несмотря на то, что шлюз имел свой собственный внешний IP-адрес с защищенным паролем подключением.

Так что же произошло? А вот что. Шлюзом у нас стоял Dlink 6004s, который, как выяснилось, даже при запароленном доступе к линиям не против принять на 5060 порту чужой запрос INVITE и звонить по всему «преступному» миру.

Недолго думая, мы отключили возможность набирать номера на 810 и упрятали шлюз за NAT, на чем и успокоились, считая, что все в порядке. Но был у нас в офисе еще одни шлюз – Dlink 7111s, тоже стоящий за NAT, к которому были подключены один телефон, одна телефонная линия и… наши знакомые пираты, обошли NAT и продолжили свой нечестный бизнес за наш счет.

Отсюда я сделал несколько важных выводов, которыми хотел бы поделиться:

Мониторьте важное сетевое оборудование, которое может нанести вред. Особенно это относится к VoIP. Нам еще повезло, что проблему со шлюзами быстро обнаружили. Но даже так ущерб за два взлома (в январе и марте) составил 1000 долларов.

NAT не является гарантированной защитой. Лучше уж VPN, с ним, по крайней мере, опасаться нужно только троянов.

Шлюзы Dlink и Linksys (это только те, о которых мне известно) всегда принимают запросы INVITE на порту 5060, из-за чего инициировать звонок может любой «сомалиец», имеющий обыкновенный IP-телефон.

Единственной гарантией неприкосновенности телефонной линии может стать блокировка оператором исходящих звонков на определенные номера и направления. В следующей статье более детально о защите asterisk

Что вы думаете об этом?