Написать эту статью нас подвигли частные конфликтные ситуации с абонентами, которые строят свои телефонные сети на базе Asterisk и получают иногда «шокирующие счета» за междугородную и международную связь. Мы, как оператор связи, за 15-ти летнюю историю своей работы с VoIP, постоянно сталкивались и продолжаем сталкиваться с такими случаями взлома наших клиентов, и хотели бы поговорить не с ИТ-администраторами и CIO, а с владельцами бизнесов и генеральными директорами о безопасности VoIP и о административных методах исключения в будущем случаев взлома вашей телефонной станции и получения огромных счетов за МГ/МН связь. В этой статье мы не будем вдаваться в тонкости настройки Linux или Asterisk, мы попробуем простым языком объяснить менеджерам как избежать опасности взлома системы VoIP-телефонии, доверенной вам фирмы, и как следствие, получение убытков, которые могут нанести значительный ущерб бизнесу. Прочитав ее, вы сможете поговорить со своими ИТ-администраторами на одном языке и удостоверится что, у них все настроено правильно.
Итак, Asterisk.
Asterisk это свободное программное обеспечение, открытая платформа для построения телекоммуникационных приложений, первоначально разработана и поддерживается компанией Digium (США) и сообществом свободных разработчиков. Своеобразная «1С для мира телекоммуникаций». На сегодня Asterisk это более 1.000.000 серверов по всему миру и успешный опыт эксплуатации в компаниях из списка «Fortune 500». Внедрение Asterisk позволяет значительно сэкономить и получить новые, недоступные ранее возможности интеграции с другими вашими IT-системами (CRM, ERP, help-desk и др.)
Вместе с популярностью системы Asterisk приходит и интерес со стороны преступников. Особенностью VoIP-систем (в отличие от сайтов, например) является то, что у международных преступных групп, специализирующихся на краже телефонного трафика есть надежные способы быстрой монетизации обнаруженной уязвимости. Существует международный рынок украденные учетных данных и коммерческое использование уязвимости – звонки за ваш счет на дорогостоящие международные направления, приводящее к прямым убыткам, начинаются уже через несколько минут после обнаружения «дырок в безопасности вашей АТС».
То есть, как только вы предоставляете возможность внешнего подключения к IP-АТС, начинается сканирование и попытки взлома. Можете попробовать — первые записи в логах появляются в течении первого часа. Работа эта, по большей части, автоматизирована, а у роботов нет проблем со свободным временем и терпением. Важно понимать то, что противниками вашего загруженного текущими делами админа, являются квалифицированные, хорошо мотивированные, международные группы хакеров, поэтому риски потерять деньги очень высоки.
Если вы используете или планируете программную платформу Asterisk в своей организации начните с простых и эффективных правил, которые помогут вам избежать проблем и получить максимальный эффект от внедрения VoIP-телефонии:
-
Заведите журнал учета выданных учетных записей доступа абонентских устройств (IP-телефонов и шлюзов, особенное внимание обратите на установленные VoIP-приложения на смартфонах ваших сотрудников). При увольнении сотрудников не забывайте отключать учетные записи пользователей. При увольнении системного администратора, который отвечал за VoIP-телефонию, необходимо сменить учётные данные подключения к VoIP-провайдерам. Если ваша организация достаточно многочисленная, интегрируйте Asterisk с LDAP-сервером для автоматизации выдачи/отключения учетных записей VoIP.
-
Желательно иметь систему централизованного хранения логов, CDR (записей о звонках) и конфигураций вашего сервера или серверов, которая сможет в случае необходимости помочь быстро восстановить работоспособность вашего сервера после сбоя, взлома или остановки на обслуживание.
-
Используйте фаерволы (межсетевые экраны), SBC (контролер пограничных сессий) сервер, которые выполняют роль привратника и не дают злоумышленникам получить доступ к вашим серверам asterisk. Если это сложно и дорого, то можно ограничится защитой сетевого уровня. Такая защита предотвращает попытки соединения с сервером Asterisk на основе каких-то формальных правил. В самом простом случае — на основе адреса сети источника. К сожалению, чаще всего, это не известный параметр. Есть инструменты, позволяющие формировать правила на уровне принадлежности сети стране. Разрешить Россию и заблокировать Китай, например. Но они не входят в стандартный комплект поставки Asterisk и требуют постоянной поддержки, так как GeoIP модули имеют проблемы совместимости с разными версиями ядер ОС Asterisk. Чтобы это надежно работало, нужно разворачивать и поддерживать собственные репозитарии, блокировать обновление несовместимых ядер до выпуска соответствующих им модулей. Еще вариант — создавать динамическую защиту на основе действий пользователя. Например, при осуществлении трех неуспешных попыток авторизации, заблокировать IP-адрес злоумышленника на час. Специальный сервис ищет попытки авторизации в системных журналах на основе набора шаблонов (регулярных выражений) и включает/отключает блокировку. Тут есть две проблемы:
а) Хакерами используется особенности инициации сессии протокола VoIP, и реализации протоколирования в Asterisk, которые порождают записи в журнал без IP-адреса источника атаки (вместо него записывается IP-адрес самого сервера), для правильной регистрации нужно включать канал протоколирования security — по умолчанию, он не используется.
б) Наборы регулярных выражений в комплекте поставки не находят попыток регистрации по журналу security. Возможно, формат менялся от версии к версии и регулярное выражение перестало соответствовать записи об ошибке.
-
Выясните у своего VoIP провайдера, есть ли у него анти-фрод (anti-fraud) защита, и если есть, то подпишитесь на эту услугу. Заключается она в том, что круглосуточная техническая поддержка провайдера сможет увидеть раньше нестандартную активность на вашем SIP-транке и отключить его совсем, до выяснения обстоятельств. Договоритесь с ними о уведомлении вас (лучше лично по телефону) о каждой такой попытке взлома.
-
При настройке Asterisk закройте все международные направления, на которые ваша компания не звонит на своей IP-АТС и у ваших провайдеров, направив письма или заключив с ними соответствующие дополнительные соглашения к договорам.
-
Настройка Asterisk это сложный и ответственный процесс. Доверяйте его специалистам в этой области, но никак не вашему администратору, в случаях, если у него нет достаточной компетенции в телефонной связи и VoIP.
-
Для правильной и безопасной работы VoIP-системы на базе Asterisk недостаточно один раз ее поставить и настроить, она будет требовать постоянной поддержки, контроля обновлений, как системы, так и компонент ОС, тестирование конфигураций в разных сочетаниях версий, управление обновлениями безопасности и т.д. Вы все равно будете платить, или за саппорт, или хакерам. Разница только в том, что первый вариант управляем и предсказуем, а второй — нет. Поэтому мы рекомендуем отдать вашу систему на обслуживание специализированной компании, особенно если в вашей компании ИТ-администраторы работают в среднем 1-1,5 года. Частая смена сотрудников приведет либо к утечке конфиденциальных данных (учетных записей VoIP) на сторону, либо к тому, что очередной «ответственный» не будет иметь представления «как тут все устроено» и допустит критическую ошибку.
Выполнение этих незамысловатых правил настройки и эксплуатации Asterisk позволят вам избежать взлома вашей телефонной сети. Надеемся, что были полезны.
