Телефонная связь на основе технологии VoIP набирает все большую популярность в нашей стране, но вместе с информацией о её преимуществах, мы все чаще слышим сообщения о взломах и хакерских атаках на телефонные сервисы.

Могут закрасться мысли о небезопасности IP-телефонии в целом. Разберемся подробнее в этом вопросе.

Да, вероятность взлома IP-телефонии выше, чем традиционной, это отрицать бессмысленно. С другой стороны, принимать решение о переходе на IP-телефонию правильнее не на основании показателя вероятности взлома, а на основании соотношения преимущества/недостатки. Отметим, что технологии VoIP базируются на технологии IP и отсюда можно сделать два вывода: если ваша локальная сеть имеет высокий уровень безопасности, то и внедренный сервис IP-телефонии по умолчанию будет хорошо защищен. Если инфраструктура имеет «бреши», то введение любого дополнительного сервиса спровоцирует появление новых уязвимостей.

Более глубинный вывод: защита IP-телефонии может быть обеспечена только тогда, когда меры безопасности применяются на всех уровнях сетевой инфраструктуры. По сути взлом IP-телефонии – это такая же хакерская атака, как и в случае взлома сайта или базы клиентов, использующая такие же приемы и методы. Поэтому за безопасность IP-телефонии, как и за безопасность всего в локальной сети, должен отвечать специалист по сетевой безопасности или системный администратор, знающий топологию сети. Если у вас есть такой человек, то вам необходимо обсудить с ним возможные варианты защиты и составить план их внедрения, учитывая стоимость защитных мер и их приоритетность. Ведь, например, для государственных учреждений приоритетным может быть конфиденциальность разговоров, а для частных организаций – предотвращение звонков за их счет. С другой стороны, неразумно тратить деньги на защиту актива большие, чем стоит сам актив. Если такой план составлен, то дальше данным вопросом занимается квалифицированный специалист. 

Рассмотрим, что можно предпринять уже сейчас или что можно предусмотреть на этапе проектирования или внедрения IP-АТС, работающей на основе протокола SIP.

Вот 5 советов по повышению безопасности, расположенных в порядке важности их реализации:
• Использовать межсетевой экран. Сегодня в любом, даже самом простом, модеме есть межсетевой экран с интуитивно понятными настройками. Главное, что требуется от Вас: не открывать вовне порт 5060 (для телефонии, построенной на основе протокола SIP), и более того –
блокировать все запросы извне по порту 5060. Исключение составляют адреса внешних sip-провайдеров, если вы пользуете их услугами. Такая настройка, во-первых, усложняет процесс взлома IP-телефонии, а, во-вторых, именно по открытому порту 5060 и передаче через него трафика злоумышленники находят потенциальных жертв.

• Связь с удаленными абонентами только по VPN или встроенными в программное обеспечение методами. Если часть ваших сотрудников будет работать удаленно, то их подключение должно осуществляться только с помощью встроенных средств в программном обеспечении IP-АТС или с помощью технологии виртуальных сетей VPN. Только в этом случае можно будет обеспечить безопасность самих телефонных разговоров и свести к минимуму попытки взлома.

• Взаимодействия только с разрешенными адресами. Еще один простой способ повышения безопасности VoIP – ввести контроль по IP или MAC адресам, т.е. с помощью встроенных средств или с помощью средств операционной системы разрешить IP-АТС взаимодействовать только с определёнными устройствами или сервисами и не более того. Способ действенен потому, что прежде чем даже попытаться взаимодействовать с вашей IP-АТС злоумышленникам придется узнать IP или MAC адрес одного из ваших IP-телефонов.

• Использовать сложные пароли и смены паролей по умолчанию. Все SIP регистрации должны иметь сложные пароли, желательно, сформированные случайным образом, а на всем VoIP оборудовании необходимо сменить стандартные пароли. В этом случае, даже если злоумышленники окажутся у вас в локальной сети, – им потребуется время, чтобы подобрать пароль к SIP регистрации или VoIP оборудованию.

• Контроль доступа и продуманный план нумерации. Во время внедрения системы или уже сейчас, имея статистику, вы можете ответить на следующие вопросы:
Есть ли необходимость вашим сотрудникам совершать исходящие звонки? Если да, то каким сотрудникам нужна такая привилегия?
Надо ли им звонить на межгород? Если да, то кому из сотрудников может быть необходима такая возможность? Есть ли необходимость вашим сотрудникам совершать международные звонки? Если да, то через какие каналы связи, в какие страны и кому именно из сотрудников?

На основе ответов вы сможете запросить настройку вашей IP-АТС таким образом, что кому-то из сотрудников вообще запретить делать исходящие звонки, кому-то разрешить делать звонки только по городу, области или межгороду, а единицам дать возможность совершать международные звонки, но только в определенные страны. В результате, даже если злоумышленники подберут логин и пароль и станут представляться одним из зарегистрированных абонентов, то весьма мала вероятность того, что у них получится дозвониться туда, куда они хотят.

Вот такие простые советы, даже без внедрения особо дорогих систем сетевого контроля позволят повысить безопасность вашей IP-телефонии. Но стоит помнить, что любая защита лишь усложняет задачу злоумышленникам и не может гарантировать 100% безопасности, поэтому нельзя забывать про периодический мониторинг вашей локальной сети, чтобы предотвратить возможную хакерскую активность.