Безопасность при работе с VoIP


В последнее время участились атаки на VoIP-оборудование. Данный материал должен помочь обезопасить от взлома ваше оборудование.

Общие правила по безопасности:

1. Никогда не используйте стандартные авторизационные данные например, логин: admin, пароль: admin;

2. Никогда не используйте легкие пароли: qwerty, rfvtgb, edcbhu, p@ssw0rd, ....;

3. По возможности не используйте стандартные порты SSH: 22, http: 80 (8080), telnet: 23, sip: 5060. Все сканеры в первую очередь сканируют стандартные порты;

4. Работать с SIP телефонами по возможности только за NAT (подключайте SIP оборудование к маршрутизатору (router);

5. Не настраивайте на маршрутизаторе и точках доступа опцию DMZ;

6. Не пользоваться сомнительными Софтфонами;

7. Настоятельно рекомендуем настраивать опцию в Личном кабинете "Разрешить доступ по протоколу SIP только с указанных адресов" Пример и Разрешенных направлений вызовов в Личном кабинете, Пример;

8. Рекомендуем обновлять SIP-оборудование на последние ПО, Пример;

9. Использовать антивирусы на компьютерах, где установлены программные телефоны;

10. Рекомендуем настроить проброс не со всего интернета, а только с адресов провайдера
Общие правила безопасности по SIP телефоном и VoIP шлюзам


Как обеспечить безопасность вашего SIP телефона и VoIP шлюза: Самым эффективным способом защиты абонента от взлома является установка VoIP оборудования за NAT. Если мы устанавливаем устройство на внешний IP-адрес, то необходимо:
1.1 Сменить логин/пароль на Web-интерфейсе
1.2 Закрыть доступ к Web-интерфейсу;
1.3 Сменить логин/пароль на telnet, на том оборудование на котором это возможно;
1.4 Закрыть доступ к telnet на том оборудование на котором это возможно, ;
1.5 Разрешить общаться по протоколу SIP только с нашим SIP-Proxy,
1.6 В личном кабинете поставить галочки только на тех направлениях, на которые реально абонент будет звонить,;
1.7 В личном кабинете настроить авторизацию только с того IP-адреса, с которого будет подключаться VoIP оборудование,
1.8 Сменить локальный порт по умолчанию (5060) на любой другой (желательно брать выше 6000)
1.9 Рекомендуем настроить проброс не со всего интернета, а только с адресов провайдера


Надежные пароли

Политика компании Манго Телеком требует от вас использования надежных паролей для SIP- акаунтов, SIP телефонов и VoIP шлюзов. Ваш пароль должен содержать не менее 8 символов, включать цифру, букву в верхнем регистре и букву в нижнем регистре, но не должен содержать три последовательных одинаковых символа.


Для оборудования D-Link

В связи с случаями несанкционированных звонков через VoIP-шлюзы(D-Link) настоятельно рекомендуем настроить caller filter на шлюзах.