נהלי אבטחה במרכזית Asterisk

אבטחת המחשב אינה שמורה אך ורק לאנשי מקצוע ותאגידים גדולים. גם אתם יכולים לשפר את רמת האבטחה שלכם ולחסום את רוב ההתקפות הנפוצות ביותר תוך יישום כמה כללים בסיסיים. מאמר זה יסקור, באמצעות סט שאלות ותשובות, את ההגנות השונות שניתן ליישם  במרכזית IP ובמיוחד במרכזית Asterisk.

מדוע עלינו לאבטח את מרכזית ה-IP? מרכזית IP הינה הגשר בין סביבת המחשוב לתשתית הטלפוניה שלכם. אם ישנה פריצת אבטחה ברשת, כל אחד יוכל לגשת לקווי הטלפון שלכם ולבצע הונאה תוך גניבת שיחות. לדוגמה, מרכזיית IP פרוצה עם 30 ערוצי PRI תוכל לבצע שיחות לכמה מדינות בלתי סבירות בעולם כמו אפגניסטן, בעלות של 2.5 € לדקה. ולכן עלויות הגניבה פר שעה אחת יכולות להגיע ל € 4,500 (2.5 € * 60 דקות * 30 ערוצים).

אז כיצד אנחנו מגינים על מרכזית ה- IP שלנו? למרבה הפלא,הרוב המכריע של בעיות הביטחוניות נובעות מטעות אנוש. כעת נעבור על הרגלים רעים ומשונים ונראה כיצד לתקן אותם.

שלוחות ה-SIP שלכם הינן מטרות עבור האקריםחוק מספר אחד הוא להשתמש בסיסמאות מורכבות בעת קביעת התצורה של שלוחות ה- SIP. למעשה, ישנם האקרים רבים המפתחים רובוטים המתקיפים רשתות מחשב בכל זמן נתון וברגע שהרובוט מקבל תשובה חיובית להתקפה מחשבון SIP, אלגוריתם מתוחכם מבצע בדיקות על אותו חשבון SIP ועובר על כל הצירופים האפשריים עבור הסיסמאות.ולכן, עלינו להימנע:

• מסיסמאות קצרות מדי • מרצף מספרי (123456) או אלפבתי (ABCD)  • מרצף לוגי כמו שמות או תאריכים • סיסמא זהה ואחידה עבור כל שלוחות SIP • שימוש של אותה סיסמא עבור מערכת ההפעלה לינוקס, מסד הנתונים MySQL ו Asterisk

אנו ממליצים על סיסמה אקראית לחלוטין של לפחות 8 תווים, הכוללת שילוב של  אותיות גדולות וקטנות ומספרים לא רציפים. עדיף להימנע משימוש בסיפרה 1 ואות L קטנה "l" או האות i גדולה "I" , כנ"ל לגביי הסיפרה אפס "0"  והאות "O" (אוסקר), זאת על מנת למנוע בלבול.   פורטים נכנסים בעת התקנת תצורת Asterisk , איניטל תדאג להשאיר מספר פורטים פתוחים בנתב שלכם על מנת לאפשר ביצוע פעולות תחזוקה מרחוק: פורט גישה לאסטריסק, פורט גישה למערכת הפעלה לינוקס, פורט גישה לנתב ולכל טלפוני ה-SIP המותקנים. חשוב לציין, גישת תצורה למרכזיה ולנתב דורשת סיסמאות שנבחרו בזהירות רבה כמתואר לעיל.

אבטחת קווים לשיחות יוצאות בעת הגדרת מרכזית האסטריסק, מומלץ מאוד להגדיר את השיחות היוצאות על מנת למנוע תקשורת ליעדים אסורים. כך למשל ניתן לכלול מספרי 1-700 ו - 1-800 שהינם מספרי חינם, אך לא את 144 (מדריך טלפון), אשר אינו חינם. באיניטל נוכל להגדיר פורמטים מדויקים עבור חיוג לטלפונים ניידים ולציין את המדינות שניתן לחייג אליהן, למי מותר להתקשר ולאיפה.

סודיות שמירת הסודיות של הסיסמאות הינו חיוני ביותר. בעת התקנת טלפונים או softphones בבית העסק, הכרחי להיות דיסקרטי בעת הזנת הסיסמאות, וכמובן לא להעביר אותן למשתמשים (עובדים) שאינם זקוקים להן בעבודתם. יצא לנו לראות בכמה מוקדים טלפוניים סוכנים חסרי מצפון שמתקשרים מהבית באמצעות ה SIP של העבודה תוך התקנת softphone על המחשב האישי ושימוש בהגדרות שהם קיבלו על מנת להוציא שיחות על חשבון העבודה. ניטור פעילות מערכת Asterisk כאשר המערכת מותקפת, הרובוט מנסה לפרוץ אליה אלפי פעמים תוך זמן קצר. כל ניסיון לוקח שבריר של שנייה ויכול להתבצע על מספר רב של ערוצים בו זמנית. לעתים קרובות, ההתקפות מתבצעות בשעות הלילה ולכן הן בלתי מורגשות. אולם, כאשר הן מתרחשות ביום, ניתן לאתר צמצום משאבים אנומאליים של המרכזיה. הסימפטום הראשון הינו ירידה באיכות התקשורת. ההגנה הטובה ביותר היא ביצוע כיבוי ממוחשב של המרכזיה והפעלתה מחדש אחרי מספר דקות או פשוט כיבוי והפעלה פיזית של המרכזיה. הרובוט יזהה את המערכת כ"מתה" ויעבור לצוד מערכת חלשה אחרת.

מערכת ניטור שיחות - תנועותניתן להזין את רשימת השיחות (תנועות CDR) על מנת לבחון ולעקוב אחרי המרכזייה ולזהות התנהלות לא שגרתית. ישנם לא מעט כלים לניתוח תנועות המאפשרים לא רק לזהות את תאריך השיחה, השעה, אלא גם להאזין לשיחות המוקלטות ולהאזין לשיחות בזמן אמת. ההמלצה שלנו הינה תוכנת ™PbxTracker , יישום חדש המיועד למוקדים טלפוניים על מנת לעקוב אחרי כל התנועות ולניהול המוקדנים.

שדרוג גרסאות מומלץ מאוד בעת רכישת מערכת אסטריסק או כל מרכזית IP לעשות חוזה שירות על מנת ששדרוג גירסת המרכזייה יעשה באופן שוטף. כמו ב- Microsoft Windows, מעת לעת נדרש תיקון קוד תוכנה, שינוי שנועד לסגור פתח שזוהה על ידי המחברים של אסטריסק כסכנת פריצה. למעשה, האקרים לומדים את הגרסאות הנוכחיות ומנסים למצוא פירצות. מעת לעת, מומלץ לבצע עדכון מלא של המערכת על מנת לנצל את היתרונות של תכונות חדשות או לשפר את הקיימות.  במבט חטוףלא משנה מה הגודל של מרכזית IP שהינכם שוקלים לרכוש, יש להתייחס לנושא האבטחה בכובד ראש וברצינות הרבה ביותר. אנו באיניטל מחויבים לסייע ללקוחותינו להתמודד עם תהליך זה בהצלחה המירבית ביותר.