Настройка межсетевого экрана на IP-АТС Yeastar серии P
В статье мы рассмотрим следующие вопросы:
- что такое межсетевой экран;
- для чего он нужен в системе телекоммуникаций;
- какие цели преследуются при взломе IP-АТС;
- как защититься от взлома;
- существующие функции для обеспечения безопасности IP-АТС:
- сетевой экран;
- правила автозащиты;
- блокировка IP-адресов;
- ограничение исходящих вызовов;
- параметры безопасности;
- консоль и SSH;
- сертификаты;
- разрешенные IP-адреса стран;
- разрешенные коды стран.
- рекомендации по настройке функционала.
Межсетевой экран (файрволл, firewall) — программная или аппаратная система, контролирующая и фильтрующая сетевой трафик на основе правил.
Для чего нужен межсетевой экран в системе телекоммуникаций
Автоматические телефонные станции (IP-АТС) часто устанавливается на предприятиях как малого, так и крупного бизнеса. В современных условиях телефония нужна для полноценного функционирования любого офиса, а для работы многих функций IP-АТС Yeastar серии P требуется доступ в интернет.
Например, для регистрации удаленных пользователей на базовой лицензии IP-АТС необходимо пробрасывать порты для регистрации и передачи голосового трафика. Такое решение несет в себе определенную долю риска и открывает возможности для хакерских атак на IP-АТС.
Какие цели преследуются при взломе IP-АТС
Взлом IP-АТС хакерами может преследовать следующие цели:
- получение доступа к данным телефонным переговоров (с последующим шантажом с целью обогащения);
- получение доступа к сети организации через уязвимости оставшиеся после установки IP-телефонии или построения сети предприятия;
- нанесение прямого вреда организации за счет ухудшения работы важных сервисов с помощью DOS-атак;
- перепродажа трафика (Toll Fraud).
При этом наиболее распространенной целью атаки является именно попытка перепродажи трафика. Как это происходит? Злоумышленник сканирует известные порты, например, 5060 для SIP, затем через них взламывает IP-АТС. После взлома злоумышленник начинает направлять вызовы на платные номера в других странах и получает за это деньги, а владельцу взломанной IP-АТС приходит крупный счет от провайдера. Иногда суммы доходят до нескольких миллионов!
Чтобы защитить IP-АТС от взлома, необходимо максимально закрыть возможности для атаки, жестко регулируя правила доступа к телефонной станции, используемые и перенаправляемые порты, а также выполнить комплекс настроек с целью защиты телефонной системы.
Встроенный в IP-АТС Yeastar серии P функционал создан, как крайняя линия обороны. При грамотном и системном подходе к созданию сети и настройке ее защиты злоумышленник не сможет даже получить доступ к IP-АТС.
Для дополнительной защиты IP-АТС Yeastar серии P оснащена различным функционалом обеспечения безопасности. Подробное его описание и настройка — далее в статье.
Функции для обеспечения безопасности, реализованные в IP-АТС Yeastar серии P
Сетевой экран — система межсетевого экрана. Используется для создания правил фильтрации входящего и исходящего трафика.
Правила автозащиты — система правил для защиты от массовых подключений и атак полным перебором (брутфорс, Brute-force).
Блокировка IP-адресов — система для мониторинга заблокированных IP-адресов, позволяющая регулировать доступ к IP-АТС и узнавать о том, откуда были попытки получить доступ.
Ограничение исходящих вызовов — система для ограничения количества и частоты исходящих вызовов. В случае, если IP-АТС взломают и начнут совершать вызовы для перепродажи трафика, эта функция позволит избежать миллионных счетов и помогает обнаружить взлом.
Параметры безопасности — дополнительные настройки безопасности IP-АТС.
Консоль и SSH — настройки для доступа к IP-АТС через консольный порт и SSH.
Сертификаты — возможности загрузки сертификатов безопасности на IP-АТС.
Разрешенные IP-адреса стран — система для настройки доступа к IP-АТС только определенным странам или регионам. Часто злоумышленники совершают взломы с подставных серверов из определенных стран. Если ограничить список стран, с которыми IP-АТС будет работать, вероятность взлома уменьшится.
Разрешенные коды стран — система для ограничения звонков в другие страны или регионы. То же, что и ограничение исходящих вызовов. Ограничив список стран, в которые можно совершать вызовы, администратор снижает возможности злоумышленников для перепродажи трафика.
Перед проведением любых настроек на IP-АТС рекомендуется создание резервной копии настроек. Это будет полезно в случае, если при настройке IP-АТС по какой-то причине будет закрыт доступ к ней. Тогда можно будет сбросить настройки IP-АТС с помощью кнопки Reset и восстановить настройки из резервной копии.
По умолчанию сетевой экран IP-АТС всегда включен, поэтому и без настройки дополнительных правил в списке заблокированных могут оказаться локальные абонентские устройства, проявляющие излишнюю сетевую активность (попытки регистрации с большим количеством запросов, опрос сети для функции BLF и пр.).
Все заблокированные IP-адреса хранятся по пути Безопасность – Правила безопасности – Заблокированные IP-адреса. Если во время настройки IP-АТС она заблокировала доступ, можно подключиться к устройству с другого IP-адреса, перейти в вышеуказанный раздел и удалить свой IP-адрес из списка. Такое может случиться, например, из-за попытки подключиться к IP-АТС по SSH до того, как SSH был включен на IP-АТС.
Поэтому изначально необходимо задать правила для доступа к IP-АТС из локальной сети.
Перейдите в Безопасность – Правила безопасности и нажмите Добавить. Укажите Имя для правила, кратко опишите его. В качестве действия выберите Принять. Затем укажите Тип – IP-адрес, укажите IP-адрес и маску для локальной сети, в которой установлена IP-АТС, и Протокол – Все.
Это необходимо для того, чтобы доступ к IP-АТС можно было получить не только из локальной сети, но и из тех доверенных сетей, из которых будет производиться настройка IP-АТС и подключение IP-телефонов. По умолчанию IP-АТС работает только с той подсетью, которая настроена на LAN-порт.
Сохраните правило.
Также необходимо создать правило для доступа к внутренним службам IP-АТС. Точно так же, как это описано в предыдущем пункте, добавьте правило для IP-адреса 127.0.0.1 с маской 255.255.255.255.
В разделе Безопасность – Правила безопасности – Автозащита можно настроить ограничение по количеству подключений за единицу времени. Нажмите Добавить. Укажите Имя для правила. Затем укажите Порт или диапазон портов, по которым будет блокироваться доступ. Укажите протокол. Укажите количество IP-пакетов и временной интервал.
Данное правило означает, что на порт 80 может поступить от 1 до 20 запросов по протоколу TCP в минуту. Если поступает 21 запрос или больше, то IP-адрес, с которого поступил запрос, помещается в список заблокированных.
По умолчанию существуют правила для ограничения количества пакетов доступа по SSH, UDP SIP, TCP SIP, HTTP и HTTPS. Их достаточно для первоначальной защиты IP-АТС, но администратор может добавить свои для повышения уровня защиты.
Для защиты от звонков на дорогостоящие номера (в случае, если IP-АТС все-таки взломали, или недовольный сотрудник решил таким образом обмануть компанию) необходимо добавить ограничение частоты исходящих вызовов.
Сделать это можно в разделе Безопасность – Правила безопасности – Ограничение частоты исходящих вызовов.
По умолчанию существует правило, ограничивающее число вызовов с внутреннего номера до 5 за 1 секунду. Зачастую злоумышленники взламывают удаленные телефоны, подключенные к IP-АТС, и совершают перенаправление трафика, совершая вызовы со взломанного внутреннего номера. Ограничив число вызовов, администратор повышает защиту IP-АТС в подобном случае. Можно также настроить свои ограничения.
IP-АТС Yeastar серии P позволяет включить и настроить подключение по SSH. Также есть возможность изменения пароля доступа через консоль. Как правило, SSH или консольный доступ используются инженерами технической поддержки для диагностики, либо администратор может воспользоваться этими инструментами для создания пользовательской конфигурации функционала через конфигурационные файлы. При этом необходимо учитывать, что список доступных для изменения конфигураций ограничен производителем.
Примечание: для получения подробной информации о том, как это сделать, пишите свои вопросы в комментариях — тогда мы расскажем об этом в одной из следующих статей.
Для настройки SSH и консольного подключения перейдите в Безопасность – Настройки безопасности – Консоль/доступ по SSH.
Рекомендуется изменить пароль доступа через консоль. Этот пароль также используется и для подключения по SSH. В целях повышения безопасности рекомендуется изменить SSH-порт на другой удобный. Стандартные порты SSH давно известны злоумышленникам и проверяются одними из первых при попытке взлома.
В некоторых случаях, используя ping, злоумышленники выясняют адрес IP-АТС и начинают DDOS-атаку или попытки взлома. Чтобы это не сработало, можно отключить ответ на ping-запросы. Для этого перейдите в Безопасность – Настройки безопасности – Параметры безопасности и установите галочку Запретить запросы ping.
Также в целях безопасности можно загрузить на IP-АТС доверенные сертификаты для работы с TLS и HTTPS. Для этого перейдите в Безопасность – Настройки безопасности – Сертификаты и нажмите Загрузить.
IP-АТС может быть сервером и использовать серверный сертификат при подключении либо выступать в качестве клиента и отправлять сертификат при подключении к другой IP-АТС или серверу.
Также в целях повышения безопасности можно заблокировать подключение к IP-АТС Yeastar серии P для определенных стран или регионов. Таким образом только определенные IP-адреса смогут подключиться к IP-АТС. Например, можно запретить подключение к IP-АТС из любой другой страны, кроме Российской Федерации.
Для этого перейдите в Безопасность – Настройки безопасности – Разрешенные IP-адреса стран. Включите защиту доступа. После этого появится предупреждение о том, что доступ заблокирован для определенной страны.
Найдите необходимую страну (в нашем примере — Российская Федерация) и включите доступ к IP-АТС c IP-адресов этой страны.
Либо можно нажать на значок предупреждения и на запрос включения доступа из определенной страны ответить ОК.
Еще одним из полезных параметров для безопасности IP-АТС является ограничение IP-адресов, с которых регистрируются внутренние абоненты. Для этого перейдите в Номера и линии – Номера и откройте номер для редактирования настроек. Перейдите на вкладку Безопасность. Установите галочку в чек-бокс Включить ограничение IP. Укажите те IP-адреса, с которых будут регистрироваться пользователи.
Также здесь будет полезно добавить проверку поля User-Agent. Злоумышленники используют стандартные шаблоны для взлома IP-АТС и внутренних номеров, снимая необходимые данные с IP-АТС в процессе взлома. Но подобные настройки обычно при этом не считываются. Поэтому дополнительная авторизация пользовательского аккаунта при регистрации на IP-АТС повысит защиту. Установите галочку в чек-бокс При регистрации проверять соответствие поля User-Agent и в появившемся окне добавьте необходимое значение.
В качестве финальной настройки правил рекомендуется ограничить международные вызовы в определенные страны или регионы по коду. Для этого перейдите в Безопасность – Настройки безопасности – Разрешенные коды стран. Включите защиту от набора номера с указанным кодом страны/региона.
Введите префикс для осуществления международного звонка. Когда сотрудник попытается позвонить на номер, начинающийся с этого префикса, IP-АТС идентифицирует его, как международный.
Затем установите страну или регионы, в которые сотрудники могут совершать международные звонки.
Важно! Перед установкой таких разрешений убедитесь, что созданы исходящие правила для осуществления подобных вызовов.
Недавно в IP-АТС Yeastar серии P была добавлена новая функция — глобальная антихакерская база с IP-адресами злоумышленников. Можно как подключиться к этой базе для получения информации, так и отправлять в нее данные об атаках на IP-АТС компании.
Чтобы подключиться к базе, перейдите в Безопасность – Настройки безопасности – Параметры безопасности. Установите галочку в чек-бокс Download Global Anti-hacking IP Blocklist. Чтобы отправлять отчеты с IP-АТС в эту систему, установите галочку в чек-бокс Report PBX’s IP Blocklist.
Произведя все описанные настройки и соблюдая разумную осторожность, можно существенно повысить безопасность системы IP-телефонии на базе IP-АТС Yeastar серии P.
