Связаться по:
[email protected]

Безопасность Asterisk

Сфера ИТ плотно влилась в нашу повседневную жизнь и в работу практически всех предприятий и организаций.  Таким образом, организации могут потерпеть огромные убытки из-за злоумышленников, так называемых хакеров. При этом ИТ-технологии весьма заманчивы и функциональны. Так например, IP телефония Asterisk имеет выход в Интернет, следовательно может подвергнуться атаке или взлому.  Следовательно, при организации безопасности телефонии необходимо определить возможные риски. Распределим их следующим образом:

  • Перехват данных – потеря конфиденциальности, искажение информации
  • Проникновение с помощью уязвимостей, которые появились при организации IP телефонии
  • DDos атаки направленные на отказ работы сервиса
  • Перепродажа потока трафика

Последний способ – самый удобный  для заработка хакерам. Произведя взлом мини АТС, хакер может направить звонки на дорогостоящие международные, и получить некоторые средства на свой электронный кошелек. Рассмотрим более детально такую схему.

Существуют биржи сливного трафика, хакер регистрируется на ней и получает набор номеров, закрепленных за ним.  Через некоторые подставные сервера происходит поиск и взлом IP АТС.  Таким образом хакер перенаправляет звонки на платные номера.  Звонки обычно направляются за границу (обычно Куба, Палестина, Латвия и т.п.) В те страны где не достаточно развита борьба с кибер-преступниками. Наглядная схема заработка представлена ниже:

Схема взлома asterisk

Учитывая то, что направления дорогие и количество звонков большое, то хакер не плохо зарабатывает. В связи с тем, что порой системы телефонии плохо защищены, то взлом происходит просто и быстро, без финансовых затрат. После такой атаки, компания получит приличный счет за телефон.  Так как такого рода проблемы стали регулярно встречаться, то ошибочно считают, что Asterisk не безопасен. Однако это не так, Asterisk обладает большим числом инструментов для безопасности.  Причем данные инструменты намного сильнее конкурентов. Не смотря на, это Asterisk часто взламывают. Почему так происходит?

Все дело в администрировании, нет такой кнопки «Защитить», нажав которую система станет непроникновенной. Безопасность Asterisk заключается в принятии ряда настроек, которые позволят защитить IP телефонии, и о которых зачастую забывают в процессе внедрения.

Уровни защиты Asterisk

Обсуждая безопасность Asterisk нужно учитывать, что это комплекс мер и не только в настройке самого Asterisk, необходимо обеспечить безопасность окружающей его среды.

Защита IP АТС включает в себя:

  • Организация сетевой безопасности
  • Структура сети
  • Обработка сообщений, логов
  • Настройка Asterisk
  • План маршрутизации звонков
  • Настройки безопасности ОС Linux
  • Безопасность периферийных устройств
  • Административная организация

Таким образом, глобальная проблема безопасности Asterisk – это не компетентность администратора. Так как существует «коробочная» Asterisk, которую установил и сразу все заработало, многие забывают про организацию безопасности, и поэтому происходят взломы и неоправданное мнение о не защищенности Asterisk.

Типичные ошибки не опытных администраторов:

  • Не надежные пароли на внутренних номерах, зачастую стандартные.
  • Отсутствие фаервола, не настроены или отключены iptables
  • Отсутствие обновлений, использование старых дистрибутивов. С выходом обновлений устраняются выявленные уязвимости.
  • Стандартные пароли к web-интерфейсам  и оборудованию
  • Структура сети, Asterisk имея внешний IP может быть атакован из вне.
  • Ошибки настройки
  • Бесконтрольность. Установили, работает, не трогаем.  Необходимо контролировать логи.
Сетевая защита

При использовании систем такого уровня необходимо в обязательном порядке использовать сетевой экран (firewall). В linux уже встроен довольно мощный firewall – IPTABLES, но по умолчанию он не производит ни каких препятствий. Для того что бы он начал продуктивно работать его необходимо настроить. Кроме этого существуют и другие программные средства, т.е. основная цель установить и правильно настроить экран для защиты.

Дизайн сети

При внедрении IP телефонии стоит обратить внимание на схему функционирования сети. Зачастую Asterisk подключают в сеть самым не безопасным способом. Например: не правильное подключение к сети Asterisk
not-recomended

То что Asterisk напрямую доступен из Интернета подвергает его опасности. Т.е. любой не сложный пароль, или уязвимость версии делает Asterisk привлекательной наживкой. В самом лучшем случае взлом злоумышленником повлечет к отказу работы телефонии в худшем большой счет за международные звонки. Регулярные обновления и надежные пароли – не панацея. Снизить риск проникновения можно используя специальный межсетевой экран. Например:

Схема Asterisk

Межсетевой экран пропускает исходящий трафик к SIP провайдеру, обратный трафик фильтрует согласно правилам. А пользователи удаленных офисов могут работать через VPN. Таким образом Asterisk перестает быть виден из Интернета.
Кроме этого есть еще один важный момент. Данные должны быть разделены, необходимо разделить голос и данный с помощью Vlan. Это позволит защитить от вирусов на машинах пользователей и не только. Схема разделения может быть такой:

asterisk-vlan

Анализ сообщений системы

Во время работы системы IP АТС и самого Asterisk, действия системы записываются в специальные журналы. В данные логи записываются как санкционированные действия так и не санкционированные. Поэтому важно просматривать логи и выявлять возможные инциденты безопасности. Проводить контроль множественных подключений, попыток подбора паролей, внезапной активности и т.п. дабы предотвратить попытку взллома. Для таких целей может быть использовано такое ПО каr Fail2ban, которое может работать с Asterisk, Apache, ssh, и другими сервисами. Принцип работы «найти и отключить», система анализирует сообщения в логах и при попытке взлома или несанкционированного доступа блокирует соединения используя firewall. Принцип работы показан на картинке:

fai2ban-asterisk

Так же логи необходимо хранить на удаленном сервере, так как если злоумышленник проник на сервер, то первым делом он попытается это скрыть, т.е. удалить свое присутствие из файлов журналов.

Настройка Asterisk

Как мы уже говорили ранее, сама система Asterisk имеет настройки, позволяющие защитить её. Благодаря правильной настройке, в каждом конкретном случае они могут отличаться в зависимости от условий использования системы. Таким образом, можно настроить ограничения на сети к которым можно и нельзя подключаться с Asterisk, количества одновременных подключений, отключение перебора номеров, смена стандартного порта и многое другое.

Безопасность плана маршрутизации звонков

Dialplan — план маршрутизации звонков, при правильном его написании можно увеличить безопасность системы. Данный план позволяет разделить полномочия пользователей. Например: не всем можно звонить на международные направления, или мобильные телефоны, фиксировать попытки использования запрещенных направлений, уведомлять пользователя об ограничениях для него и многое другое.
Данный план очень гибкий, можно очень тонко настроить все ограничения и разрешения, можно настроить звонки только при вводе специального кода. Т.е. можно реализовать практически все возможные пожелания по использованию телефонии.

Настройка Linux

Asterisk устанавливается на ОС Linux различных дистрибутивов. Как и в Asterisk, ОС имеет возможность настройки для своей защиты. При установке Asterisk запускает множество модулей, которые могут и не использоваться при работе. Такие функции желательно отключать. Не используемые службы есть и в ОС, их также стоит отключить.
Так же для доступа к серверу администратор использует удаленное соединение, которое должно быть настроено со всеми рекомендациями безопасности.
И таких настроек множество, основная задача настроить безопасность для используемых функций.

Безопасность периферийных устройств

Оборудование различными способами подключается к системе Asterisk, и что бы оно не стало источником уязвимости, его также необходимо защитить. Для защиты оборудования работающего с Asterisk необходимо:

  • Провести обновление ПО устройств
  • IP оборудование разместить в отдельном Vlan
  • Закрыть устройства сетевым экраном
  • Уязвимость оборудования – это web-интерфейс, по возможности необходимо его отключить
  • Замена портов
Административная организация

Даже если все будет правильно настроено, то взлом все равно возможен с минимальной вероятностью. Из-за этого, административные мероприятия так же необходимы:

  • Если не используются международные звонки –отключить их возможность
  • Также можно ограничить счет оператора
  • Организация безопасности ПК с сосфтфонами
  • Изменения паролей при смене администратора
  • Обучение персонала
  • Постоянный контроль и аудит

Заключение

При правильной настройки всей системы IP телефонию Asterisk можно сделать самой защищённой системой с огромным функционалом и возможностями не уступающей таким вендорам, как  Cisco, Avaya.
А что касается большой статистики взломов, то это из-за того что настроить, что бы работало может мало какой начинающий айтишник, вот и получается настраивают что бы работало, а безопасности внимание не уделяют.

Поэтому для настройки коммерческих решений необходимы специалисты, каковыми мы и являемся. Мы предоставляем весь комплекс услуг от проектирования до внедрения и настройки безопасности IP АТС.

Заказать настройку безопасности Asterisk