דף הבית עסקים תקשורת נהלי אבטחה במרכזית Asterisk
נהלי אבטחה במרכזית Asterisk
איניטל אפולו בע"מ 27/09/11 |  צפיות: 4187

אבטחת המחשב אינה שמורה אך ורק לאנשי מקצוע ותאגידים גדולים. גם אתם יכולים לשפר את רמת האבטחה שלכם ולחסום את רוב ההתקפות הנפוצות ביותר תוך יישום כמה כללים בסיסיים. מאמר זה יסקור, באמצעות סט שאלות ותשובות, את ההגנות השונות שניתן ליישם  במרכזית IP ובמיוחד במרכזית Asterisk.

מדוע עלינו לאבטח את מרכזית ה-IP?
מרכזית IP הינה הגשר בין סביבת המחשוב לתשתית הטלפוניה שלכם. אם ישנה פריצת אבטחה ברשת, כל אחד יוכל לגשת לקווי הטלפון שלכם ולבצע הונאה תוך גניבת שיחות.

לדוגמה, מרכזיית IP פרוצה עם 30 ערוצי PRI תוכל לבצע שיחות לכמה מדינות בלתי סבירות בעולם כמו אפגניסטן, בעלות של 2.5 € לדקה.
ולכן עלויות הגניבה פר שעה אחת יכולות להגיע ל € 4,500 (2.5 € * 60 דקות * 30 ערוצים).

אז כיצד אנחנו מגינים על מרכזית ה- IP שלנו?
למרבה הפלא,הרוב המכריע של בעיות הביטחוניות נובעות מטעות אנוש.
כעת נעבור על הרגלים רעים ומשונים ונראה כיצד לתקן אותם.

שלוחות ה-SIP שלכם הינן מטרות עבור האקרים
חוק מספר אחד הוא להשתמש בסיסמאות מורכבות בעת קביעת התצורה של שלוחות ה- SIP. למעשה, ישנם האקרים רבים המפתחים רובוטים המתקיפים רשתות מחשב בכל זמן נתון וברגע שהרובוט מקבל תשובה חיובית להתקפה מחשבון SIP, אלגוריתם מתוחכם מבצע בדיקות על אותו חשבון SIP ועובר על כל הצירופים האפשריים עבור הסיסמאות.

 ולכן, עלינו להימנע:

  • מסיסמאות קצרות מדי
  • מרצף מספרי (123456) או אלפבתי (ABCD)
  • מרצף לוגי כמו שמות או תאריכים
  • סיסמא זהה ואחידה עבור כל שלוחות SIP
  • שימוש של אותה סיסמא עבור מערכת ההפעלה לינוקס, מסד הנתונים MySQL ו Asterisk

 
אנו ממליצים על סיסמה אקראית לחלוטין של לפחות 8 תווים, הכוללת שילוב של  אותיות גדולות וקטנות ומספרים לא רציפים. עדיף להימנע משימוש בסיפרה 1 ואות L קטנה "l" או האות i גדולה "I" , כנ"ל לגביי הסיפרה אפס "0"  והאות "O" (אוסקר), זאת על מנת למנוע בלבול.
 
פורטים נכנסים
בעת התקנת תצורת Asterisk , איניטל תדאג להשאיר מספר פורטים פתוחים בנתב שלכם על מנת לאפשר ביצוע פעולות תחזוקה מרחוק: פורט גישה לאסטריסק, פורט גישה למערכת הפעלה לינוקס, פורט גישה לנתב ולכל טלפוני ה-SIP המותקנים. חשוב לציין, גישת תצורה למרכזיה ולנתב דורשת סיסמאות שנבחרו בזהירות רבה כמתואר לעיל.

אבטחת קווים לשיחות יוצאות
בעת הגדרת מרכזית האסטריסק, מומלץ מאוד להגדיר את השיחות היוצאות על מנת למנוע תקשורת ליעדים אסורים. כך למשל ניתן לכלול מספרי 1-700 ו - 1-800 שהינם מספרי חינם, אך לא את 144 (מדריך טלפון), אשר אינו חינם. באיניטל נוכל להגדיר פורמטים מדויקים עבור חיוג לטלפונים ניידים ולציין את המדינות שניתן לחייג אליהן, למי מותר להתקשר ולאיפה.

סודיות
שמירת הסודיות של הסיסמאות הינו חיוני ביותר. בעת התקנת טלפונים או softphones בבית העסק, הכרחי להיות דיסקרטי בעת הזנת הסיסמאות, וכמובן לא להעביר אותן למשתמשים (עובדים) שאינם זקוקים להן בעבודתם. יצא לנו לראות בכמה מוקדים טלפוניים סוכנים חסרי מצפון שמתקשרים מהבית באמצעות ה SIP של העבודה תוך התקנת softphone על המחשב האישי ושימוש בהגדרות שהם קיבלו על מנת להוציא שיחות על חשבון העבודה.

ניטור פעילות מערכת Asterisk
כאשר המערכת מותקפת, הרובוט מנסה לפרוץ אליה אלפי פעמים תוך זמן קצר. כל ניסיון לוקח שבריר של שנייה ויכול להתבצע על מספר רב של ערוצים בו זמנית. לעתים קרובות, ההתקפות מתבצעות בשעות הלילה ולכן הן בלתי מורגשות. אולם, כאשר הן מתרחשות ביום, ניתן לאתר צמצום משאבים אנומאליים של המרכזיה. הסימפטום הראשון הינו ירידה באיכות התקשורת.
ההגנה הטובה ביותר היא ביצוע כיבוי ממוחשב של המרכזיה והפעלתה מחדש אחרי מספר דקות או פשוט כיבוי והפעלה פיזית של המרכזיה. הרובוט יזהה את המערכת כ"מתה" ויעבור לצוד מערכת חלשה אחרת.

מערכת ניטור שיחות - תנועות
ניתן להזין את רשימת השיחות (תנועות CDR) על מנת לבחון ולעקוב אחרי המרכזייה ולזהות התנהלות לא שגרתית. ישנם לא מעט כלים לניתוח תנועות המאפשרים לא רק לזהות את תאריך השיחה, השעה, אלא גם להאזין לשיחות המוקלטות ולהאזין לשיחות בזמן אמת. ההמלצה שלנו הינה תוכנת (PbxTracker (www.pbxtracker.com , יישום חדש המיועד למוקדים טלפוניים על מנת לעקוב אחרי כל התנועות ולניהול המוקדנים.

שדרוג גרסאות
מומלץ מאוד בעת רכישת מערכת אסטריסק או כל מרכזית IP לעשות חוזה שירות על מנת ששדרוג גירסת המרכזייה יעשה באופן שוטף.
כמו ב- Microsoft Windows, מעת לעת נדרש תיקון קוד תוכנה, שינוי שנועד לסגור פתח שזוהה על ידי המחברים של אסטריסק כסכנת פריצה. למעשה, האקרים לומדים את הגרסאות הנוכחיות ומנסים למצוא פירצות. מעת לעת, מומלץ לבצע עדכון מלא של המערכת על מנת לנצל את היתרונות של תכונות חדשות או לשפר את הקיימות. 

במבט חטוף
לא משנה מה הגודל של מרכזית IP שהינכם שוקלים לרכוש, יש להתייחס לנושא האבטחה בכובד ראש וברצינות הרבה ביותר.
אנו באיניטל מחויבים לסייע ללקוחותינו להתמודד עם תהליך זה בהצלחה המירבית ביותר.


דירוג המאמר:

תגיות של המאמר:

 איניטל אפולו בע"מ

איניטל אפולו בע"מ מתמחה בתכנון ויישום מערכות תקשורת מורכבות ומרובות אתרים ועוסקת בפיתוחים ייעודיים עבור לקוחותיה.
לחברה ניסיון רב בפתרונות VOIP, מרכזיות IP והקמת מוקדים טלפוניים.



 


מאמרים נוספים מאת איניטל אפולו בע"מ
 
מוקד טלפוני- קול סנטר - call center למה, למי ואיך?
18/10/11 | CRM
רוב בתי עסק מנהלים בדרך זו או אחרת תקשורת עם קהל לקוחותיהם, אם זה דרך מחלקת שירות, מחלקת תמיכה, מחלקת מכירות או מחלקת חשבונות. אולם לשים קבוצת אנשים בחדר ולהנחות אותם לענות לטלפון לא הופך אותם למוקד טלפוני – קול סנטר. אז מה בכל זאת מבדיל מוקד טלפוני?

מרכזיות IP - הווה ועתיד
27/09/11 | תקשורת
Digium הינה בין החברות המובילות בתחום מרכזיות ה- IP ומדורגת שלישית אחרי Cisco ו- Avaya. החדשנות של חברת Digium מתבטא בהחלטתה להפיץ את תוכנת ההפעלה של מרכזית ה- IP שלה בקוד פתוח על מנת לאפשר למתכנתים בכל העולם לקדם ולפתח את הקוד. כמו כן, Digium משווקת ציוד תקשורת איכותי

נהלי אבטחה במרכזית Asterisk
27/09/11 | תקשורת
שלוחות ה-SIP שלכם הינן מטרות עבור האקרים.
ישנם האקרים רבים המפתחים רובוטים המתקיפים רשתות מחשב בכל זמן נתון וברגע שהרובוט מקבל תשובה חיובית להתקפה מחשבון SIP, אלגוריתם מתוחכם מבצע בדיקות על אותו חשבון SIP ועובר על כל הצירופים האפשריים עבור הסיסמאות.


שילוב של תשתית אנלוגית עם מרכזית IP
27/09/11 | תקשורת
מרכזית ה- IP אינה בוחרת לעבוד רק עם הציוד והתשתית הייעודיים לה, כגון טלפוני IP ותשתית אינטרנט. למעשה, היכולות המתקדמות של מרכזית ה- IP מאפשרות לה לשתף פעולה עם התשתית והציוד האנלוגי של בית העסק. מרכזית ה- IP איננה מקור להפסדים אלא מקור לחיסכון אדיר מצד הלקוח.
     
 
שיווק באינטרנט על ידי WSI