9 Ноя
2012
Рубрика: VoIP
Автор:    Комментариев нет

Безопасность в VoIP сетях

Статисты посчитали, что у пары клиентов среднего оператора в начале каждого месяца возникает следующая ситуация: их счета говорят о том, что они в буквальном смысле попали на деньги. Вы спросите о том, почему именно в начале месяца? Потому что именно в это время операторами печатаются и отправляются клиентам счета за прошедший месяц.
Наиболее продвинутым людям давно известна система безопасности Asterisk. Для тех, кто не знает о чем идет речь – это безопасность в VoIP сетях. Это определение довольно близко к истине работнику SIP оператора.

 Asterisk-безопасность у всех на устах. Однако, видно не вооруженным глазом, что есть определенные недопонимания, и мы попытаемся устранить их, обсудив безопасность Volp-сетей с работником SIP –оператора.
По мнению большинства людей Asterisk является довольно ненадежной системой безопасности, она не просто ломается, она ломается очень легко и очень часто, так сказать, с завидной регулярностью. На самом деле все в нашем мире ломается. Asterisk же попадает в этот список только потому, что является open source, чаще всего он устанавливается теми компаниями, у которых нет денег на CUCM, содержащий в резерве CUBE и ASA. Дело не в том, что он какой-то “ущербнный” из-за своей открытости и бесплатного распространения, обычно настраивают не до конца как его самого, так и окружение. Настройку Asterisk осуществляют администраторы и эникей, которые впервые знакомятся с VoIP.

Если же Вы самостоятельно или по заданию решили настроить Asterisk, а также подключить IP телефонию в компании, в первую очередь следует «избавиться» от возможных моральных или финансовых проблем. Т.е. написать докладную записку о том, что Вы не несете ответственности и осуществляете эти действия за подписью директора, после чего можете приступить к настройке.
Перед установкой не будет лишним почитать в интернете или на Хабре статьи по настройке, стоит отметить, что там довольно часто попадаются нужные и полезные советы. Обратите внимание на такую «вещь», как endpoint, поищите и почитайте про безопасность шлюзов.
Ниже приведено не поэтапное описание установки, а те моменты, на которые при установке следует обратить особое внимание.
Итак, если Вам нужно от Asterisk только SIP, то остальные chan_Asterisk не пригодятся.
1. Для начала в файл modules.conf добавьте все то, чем в будущем пользоваться не собираетесь:
noload => chan_skinny.so;
noload => chan_jingle.so;
noload => chan_console.so;
noload => chan_iax2.so;
noload => chan_gtalk.so;
noload => chan_mgcp.so.
2. Удалим все дефолтные conf файлы:
rm /etc/asterisk/sip.conf ;
rm /etc/asterisk/extensions.conf.
По вышеприведенной инструкции к sip.conf допишем то, что нам понадобиться:
[general]
useragent=Linksys/SPA8000-5.1.10 #определяемся как Linksys SPA8000-версия в SIP пакетах;
sdpsession=Linksys SPA8000-5.1.10 #пишем имя агента в SDP поле, затем меняем его.
В extensions.conf запишем дефолтный контекст:
[default]
exten => _X.,1,Hangup #кто не смог пройти в default, делаем отбой при вызове куда-либо.
Как известно многим, пытающимся настроить данный ПП, администраторы при создании, видимо хотели обезопасить Asterisk, причем, если следовать рекомендациям, все может получиться. Наверняка многие думают, что слабым местом Asterisk является endpoint.
Следует заметить, что Endpoint – просто VoIP шлюз, IP телефон, к которому подключаются softphone, факс, запущенные на компьютере менеджера, а также многие другие точки, попадающие в VoIP сеть, которые установлены у конечного пользователя.
Не забудьте о защите окружения. Для большего понимания приведем примеры.
IP телефоны часто вывешивают наружу для удаленного администрирования и большего удобства менеджмента. Если Вы в процессе работы хотите убедиться в том, что отсутствует возможность возникновения какого-либо инцидента, следует просканировать адреса клиентов компании. Должны получиться примерно такие ссылки:
внешний_адрес:8103
внешний_адрес:8104
внешний_адрес:8105
Здесь цифры 103,104,105 являются добавочными номерами, которые заведены на телефоне. После прохождения по ссылке попадаете в web-интерфейс телефона, а дальше все будет зависеть от вендора. Больше всего повезет тем админам, у которых будет Cisco или Linksys, так как вероятнее всего за МН счет не придет. К телефонам Polycom получать web-доступ не рекомендуется.
Стоит, конечно, отметить и других производителей, например, взять даже ту самую китайскую технику, причем смело можно сказать, что производят они ее достаточно хорошего качества. Телефон noname IP Phone, чаще имеет название Fanvil BW210, звонит прекрасно, форвардит, показывает время, сравнительно дешевый и не глючит. Эта модель имеет несколько похожих собратьев, отличающихся названием, но в остальном они имеют такую же коробку и web-интерфейс. Этот же выделяется одной особенностью, зайдите на него:
ip_phone/config.txt – в результате должны получить конфигурацию и все реквизиты.
Стоит отметить, что подбор пароля, тому, кому это нужно, займет немного времени.
Стоит ограничивать и разрешать доступ только «своим» адресам. Это относится и к сигнализации.
Итак, следует подвести итоги:
— endpoint должны находиться внутри локальной сети, доступ извне должен осуществляться посредством VPN;
— любой IP телефон или шлюз позволяет настроить syslog сервер – не стоит пренебрегать этим. Следует собирать трафик и хранить хотя бы месяц;
— синхронизируйте копию CDR Asterisk на другой сервер;
— ограничивайте доступ конечным пользователям к телефонам, не нужно размещать компьютеры и телефоны в одной локальной сети;
— закройте ненужные МН направления, лучше всего бумажным письмом с подписью и печатью.
— не пропускайте новые патчи, обновляйте PBX, они закрывают уязвимости, это относиться и к обновлениям прошивки телефонов и шлюзов;
— не забывайте про оператора, помните, что чем меньше провайдер, тем лучше его отношение к клиенту, он будет стараться предоставить лучший сервис, чтобы удержать Вас

На всех IP-телефонах или шлюзах существует возможность настройки syslog-сервера – не стоит пренебрегать этим. Скапливайте полностью весь трафик, с сохранением его, как минимум, на месяц. Делайте CDR-копию и синхронизируйте на другом сервере. Конечные пользователи должны иметь ограничения в доступе к телефонам, не включайте телефоны и компьютеры в одну локальную сеть. Не нужные фирме МН-направления закройте, желательно закрепив это в бумажном письме с печатью и подписью руководителя. Необходимо следить за транком версии Asterisk, не пропускать свежих патчей и обновлять РВХ. Так же обновлять прошивки шлюзов и телефонов, закрывать в них уязвимости. Постройте хорошее взаимопонимание с оператором. Маленькие провайдеры больше заботятся о своих клиентах и делает все для их удержания.

 

 

Что вы думаете об этом?