Безопасность при работе с VoIP

В последнее время участились атаки на VoIP-оборудование. Данный материал должен помочь обезопасить от взлома ваше оборудование.

Общие правила по безопасности:

  1. Никогда не используйте стандартные авторизационные данные, например логин: admin, пароль: admin;

  2. Никогда не используйте простые пароли: qwerty, rfvtgb, edcbhu, p@ssw0rd;

  3. По возможности не используйте стандартные порты SSH: 22, HTTP: 80 (8080), Telnet: 23, SIP: 5060. Все сканеры в первую очередь сканируют стандартные порты;

  4. Работайте с SIP-телефонами по возможности только за NAT (подключайте SIP-оборудование к маршрутизатору);

  5. Не настраивайте на маршрутизаторе и точках доступа опцию DMZ;

  6. Не пользуйтесь сомнительными софтфонами;

  7. Настоятельно рекомендуем настраивать в личном кабинете опцию "Разрешить доступ по протоколу SIP только с указанных адресов" и разрешенные направления вызовов;

  8. Рекомендуем обновлять SIP-оборудование до последней версии ПО;

  9. Используйте антивирусы на компьютерах, где установлены программные телефоны;

  10. Рекомендуем настроить проброс не со всего интернета, а только с адресов провайдера.
    Общие правила безопасности для SIP-телефонов и VoIP-шлюзов

Как обеспечить безопасность вашего SIP-телефона и VoIP-шлюза: самым эффективным способом защиты абонента от взлома является установка VoIP-оборудования за NAT. Если вы устанавливаете устройство на внешний IP-адрес, необходимо:
1.1 Сменить логин/пароль на Web-интерфейсе
1.2 Закрыть доступ к Web-интерфейсу;
1.3 Сменить логин/пароль на Telnet на том оборудовании, на котором это возможно;
1.4 Закрыть доступ к Telnet на том оборудовании, на котором это возможно;
1.5 Разрешить общаться по протоколу SIP только с нашим SIP-Proxy;
1.6 В личном кабинете поставить галочки только на тех направлениях, на которые реально абонент будет звонить;
1.7 В личном кабинете настроить авторизацию только с того IP-адреса, с которого будет подключаться VoIP-оборудование;
1.8 Сменить локальный порт по умолчанию (5060) на любой другой (желательно брать выше 6000);
1.9 Рекомендуем настроить проброс не со всего интернета, а только с адресов провайдера.

Надежные пароли

Политика компании MANGO OFFICE требует от вас использования надежных паролей для SIP-аккаунтов, SIP-телефонов и VoIP-шлюзов. Ваш пароль должен содержать не менее 8 символов, включать цифру, букву в верхнем регистре и букву в нижнем регистре, но не должен содержать три последовательных одинаковых символа.

Для оборудования D-Link

В связи со случаями несанкционированных звонков через VoIP-шлюзы (D-Link) настоятельно рекомендуем настроить caller filter на шлюзах.

Предыдущая
База знаний
Следующая
Трансляция сетевых адресов (NAT). Виды, схемы работы