Zabezpečení VoIP ústředen Zirkon

Dnes se budeme zabývat zabezpečením VoIP PBX Zirkon a VS-AST. Původně jsme měli připravený test dalšího zařízení, ale díky aktuální zprávě v mediích o špatně zabezpečené VoIP ústředně jedné paní hoteliérky, jsme se rozhodli napsat článek o zabezpečení našich ústředen. Paní Přibylová, provozující menší hotýlek ve Velkém Meziříčí, se rozhodla pro internetovou ústřednu. Neměla ji bohužel dostatečně zabezpečenou a během tří dnů ji neznámý pachatel provolal do Lichtenštejnska 1.4 milionu Kč.

O incidentu toho bylo psáno opravdu hodně, zde pro Vás vybíráme několik článků: 

V článku na serveru Lupa.cz se p. Zandl zmiňuje o opensource ústředně Asterisk následovně:

Podnikatelka si ústřednu sice zakoupila, ale nenechala si ji profesionálně spravovat. Pouze si ji napojila na SIP rozhraní WIA. Jenže software Asterisk je proslulý svou problematickou bezpečností a děr, kterými mohou útočníci do systému proniknout a ovládnout jej, je celá řada, v závislosti na verzi. A o záplatování těchto děr a přechod na novější verze se paní Přibylová nestarala, ani si na to někoho nezjednala. V tom byla první potíž. Vyhledávání děravých Asterisků (i jiných SW ústředen) je dnes na internetovém undergroundu slušně bující business.

zámekZde bychom chtěli podotknout, že opensource ústředna Asterisk není proslulá problematickou bezpečností a děrami. Problémy s bezpečností mají spíše různé nadstavby třetích stran jako jsou opensource web rozhraní, statistiky a různé upravené moduly, které se nahrávají do Asterisku. Zlý stín na Asterisk můžou vrhat i různé distribuce, jako jsou například Trixbox, jehož web rozhraní obsahovalo bezpečnostní chybu, za pomoci které mohl útočník získat plnou kontrolu nad ústřednou. Chyby se však najdou i v samotném Asterisku. V logu verzí na www.asterisk.org můžete vidět aktuální změny Asterisku. Ve změnách je vidět, že se nejedná o kritické bezpečnostní chyby, spíše jen o přidání, drobnou opravu nebo úpravu různých funkcí ústředny. Pokud se objeví chyba v Asterisku, je to spíše chyba, která má za následek přinejhorším pád ústředny a ne získání kontroly nad ní. Pokud bychom měli brát Asterisk jako děravou ústřednu, stejným pohledem by jsme se museli dívat i na výrobky jiných světových komerčních výrobců VoIP zařízení jejichž  systémy obsahují také množství bezpečnostních chyb, které byly mnohokrát zneužity. Problémem tedy dost často nebývá software, ale člověk, který si ústřednu nezabezpečí. Je to jako u automobilů. Můžete mít nejlepší auto s nejlepším zabezpečením, ale pokud alarm nezapnete a necháte pootevřené dveře, tak je Vám to zabezpečení k ničemu. Pokud to máme porovnat, tak je jedno jestli máte profesionální zařízení od komerčního výrobce, které Vám konfiguroval amatér a nezabezpečil ho dostatečně, nebo jestli máte od amatéra nainstalovanou opensource ústřednu. Záleží hlavně na aktuálnosti software, složitostí hesel a nepodceňování nebezpečí, které hrozí na internetu.

Proti zneužití VoIP ústředny je možné se bránit správnou konfigurací ústředny, použitím složitých hesel, zabezpečením pomocí firewallu a v neposlední řadě i použitím bezpečného operačního systému.

Konfigurace ústředny

  • Ústřednu doporučujeme konfigurovat zásadně přes zabezpečený HTTPS protokol. Tím zamezíme odchycení přenášených informací mezi ústřednou a počítačem, z kterého je konfigurace prováděna.
  • Při prvním přihlášení změníme administrátorské uživatelské jméno a heslo. Heslo by mělo mít alespoň 8 míst a kombinovat číslice, malá a velká písmena, popřípadě speciální znaky. Použitím silného hesla eliminujete možnost neoprávněného přístupu do konfiguračního rozhraní ústředny. Po přihlášení získá útočník kontrolu a může přes Vaši ústřednu protelefonovat astronomické částky.
  • Pokud konfigurujete a vytváříte VoIP účty, opět používejte silná hesla. Útočníci mají k dispozici speciální programy, které jim pomáhají hledat hesla k VoIP účtům. Po získaní VoIP jména a hesla může útočník přihlásit k Vaši ústředně vlastní VoIP zařízení a využívat Vaši ústřednu k volání.
  • Snížit riziko přihlášení cizího zařízení můžete i pomocí vyplnění IP adresy ve vlastnostech SIP kanálu. Lze to však jen za předpokladu, že Vaše VoIP zařízení má pevnou IP adresu. Ustředna pak nebude akceptovat přihlášení VoIP zařízení s ukradenou identitou z jiné než Vámi zadané IP adresy.

Zabezpečení ústředny pomocí firewallu

  • Naše VoIP ústředny Zirkon obsahují kvalitní firewall. V základní konfiguraci je však všechno povoleno. Pokud máte ústřednu připojenou přímo do internetu pomocí veřejné IP adresy, pak doporučujeme nakonfigurovat firewall tak, že zakážete všechny TCP/UDP porty. Pak stačí povolovat potřebné porty. Příklad: v ústředně máte nakonfigurován SIP trunk k VoIP operátorovi. VoIP operátor má svoji ústřednu na IP 100.200.100.200. Na Vaši ústředně si povolíte UDP porty od operátora s IP 100.200.100.200. Rozsah UDP portů záleží na konkrétních nastaveních. V případě SIP protokolu to bude minimálně signalizační port UDP/5060 a určitý rozsah UDP portů pro přenos hlasu přes protokol RTP, RTCP. Pokud se na Vaši ústřednu připojují telefony z různých veřejných IP adres, vytvořte pravidla pro každou z nich. Dále si povolte servisní přístup na ústřednu jen z Vámi známých IP adres. Tím zablokujete možnost přihlášení se na ústřednu z cizích IP adres. Určitě nezaškodí zapnout blokování ICMP zpráv (ping). Ústředna se tím stane neviditelnou pro většinu skenerů, které zjišťují zda na IP adrese žije nějaké zařízení.
  • Ústředna Zirkon obsahuje i vestavěného OpenVPN klienta. Pokud provozujete ve firmě OpenVPN server, může se ústředna přihlásit na server a získat od něj interní IP adresu. Na tento server se pak mohou přihlásit i vzdálené pobočky pomocí routerů a VoIP telefony pak můžou komunikovat s ústřednou bezpečně přes šifrovaný VPN tunel.  

Pokud si na zabezpečení Vaší VoIP ústředny Zirkon sami netroufáte, můžeme Vám ji zabezpečit my. Stačí nám zaslat objednávku na Tato emailová adresa je chráněna před spamboty, abyste ji viděli, povolte JavaScript a my Vás sami kontaktujeme a navrhneme Vám další kroky (aktualizace ústředny, nastavení firewallu, audit...) potřebné pro zabezpečení ústředny.

 

Copyright © 2010, Lam Plus | www.vasesit.cz