Основы безопасности VoIP-телефонии.
Добавлено: 2022-май-04, 1:05 pm
Телефония - достаточно дорогой (по сравнению с интернетом/телевидением/) платный сервис. Дороже только телеграммы и СМС.
Особенности тарификации таковы, что клиент оплачивает каждый успешно соединённый исходящий вызов, тогда как цену вызова задаёт удалённая, или принимающая сторона. Это создаёт опасности взлома аккаунтов для осуществления массовых автоматических прозвонов в дальние максимально дорогие направления за счёт средств со взломанных акканутов. Ряд стран и их операторов практически не борются с телефонным мошенничеством ("фродом").
Что может быть взломано.
Обычно атакуют две точки :
* сервера регистрации (их постоянно пытаются хакнуть на предмет слабых паролей)
* устройство пользователя (sip-телефон, смартфон, компьютер с софт-фоном).
К сожалению, пользователи не умеют создавать стойкие пароли. Именно поэтому мы не предоставляем возможности поставить свой пароль на сип-учётку. Пароли генерируются случайные и длинные при каждой процедуре восстановления.
Что касается безопасности устройств клиента, то тут рекомендации такие:
* Обновляйте прошивки. Даже если устройство за роутером, соседние компьютеры в локальной сети могут попытаться взломать соседние воип-устройства, если они будут уязвимы.
* Ставьте стойкие пароли на веб-админку устройства, обязательно меняйте пароли по умолчанию.
К сожалению, не все производители оборудования в необходимой степени предупреждают пользователей о важности смены пароля.
Пароль веб-админки НЕ ДОЛЖЕН совпадать с паролем сип-учётки !
* Безопасность ОС на устройстве. Особенно актуально для компьютеров и смартфонов.
Вредоносное ПО может попытаться похитить сохранённые пароли от воип-аккаунтов и вызвонить ваш баланс.
* Проброс портов. Не все устройства умеют корректно проходить NAT, как и не все роутеры полностью корректно реализуют или вообще включают UPnP. Также такие устройства, как мини-АТС, могут быть доступны извне или как минимум из локальной сети того провайдера, где стоит ваша АТС.
В этом случае проверьте, что доступ к основному сетевому порту UDP/5060 ограничен файерволом , и входящие коннекты к нему разрешены только с IP-адреса нашего сервера и адресов вашего телефонного оборудования.
Онлайн-проверка сетевого порта 5060:
https://2ip.ru/check-port/?port=5060
В случае открытого порта 5060 даже при стойких паролях и надёжных прошивках поток запросов с попытками взлома может быть настолько значителен, что устройство будет перегружено и не сможет нормально работать вообще.
На что обращать внимание ?.
* На любую подозрительную активность устройства.
Самопроизвольные звонки, резкий рост расходов, зависания устройств.
* Полезно иногда просматривать историю вызовов в личном кабинете.
* С 2023-02 sip-сервер обновлён, адобе-флеш, виндовс-сервер и всё старое ПО выкинуто на свалку - никакие сторонние плагины больше не требуются. Новый веб-интерфейс работает в любом +/- современном браузере.
* Особое внимание уделите вызовам на дальние направления, особенно незнакомым.
Максимально опасны по телефонному фроду страны Африки,
прибалтика (особенно Литва/Латвия) и мелкие островные государства типа Кирибати.
В целом, дорогие фродовые направления существуют в большинстве стран мира, и крупные страны тут тоже не исключение.
В частности, закрыт ряд префиксов во Франции и США - как ни странно, но там тоже есть значительная номерная ёмкость, используемая мошенниками.
Мы закрыли ряд таких направлений (, в тарифе на сайте помимо стоимости будет написано "Закрыто"), и по-умолчанию вызовы туда не проходят.
Если вы считаете, что мы внесли какой-то префикс по ошибке, и у вас реально там клиент/друг/родственник - пишите, поправим.
Особенности тарификации таковы, что клиент оплачивает каждый успешно соединённый исходящий вызов, тогда как цену вызова задаёт удалённая, или принимающая сторона. Это создаёт опасности взлома аккаунтов для осуществления массовых автоматических прозвонов в дальние максимально дорогие направления за счёт средств со взломанных акканутов. Ряд стран и их операторов практически не борются с телефонным мошенничеством ("фродом").
Что может быть взломано.
Обычно атакуют две точки :
* сервера регистрации (их постоянно пытаются хакнуть на предмет слабых паролей)
* устройство пользователя (sip-телефон, смартфон, компьютер с софт-фоном).
К сожалению, пользователи не умеют создавать стойкие пароли. Именно поэтому мы не предоставляем возможности поставить свой пароль на сип-учётку. Пароли генерируются случайные и длинные при каждой процедуре восстановления.
Что касается безопасности устройств клиента, то тут рекомендации такие:
* Обновляйте прошивки. Даже если устройство за роутером, соседние компьютеры в локальной сети могут попытаться взломать соседние воип-устройства, если они будут уязвимы.
* Ставьте стойкие пароли на веб-админку устройства, обязательно меняйте пароли по умолчанию.
К сожалению, не все производители оборудования в необходимой степени предупреждают пользователей о важности смены пароля.
Пароль веб-админки НЕ ДОЛЖЕН совпадать с паролем сип-учётки !
* Безопасность ОС на устройстве. Особенно актуально для компьютеров и смартфонов.
Вредоносное ПО может попытаться похитить сохранённые пароли от воип-аккаунтов и вызвонить ваш баланс.
* Проброс портов. Не все устройства умеют корректно проходить NAT, как и не все роутеры полностью корректно реализуют или вообще включают UPnP. Также такие устройства, как мини-АТС, могут быть доступны извне или как минимум из локальной сети того провайдера, где стоит ваша АТС.
В этом случае проверьте, что доступ к основному сетевому порту UDP/5060 ограничен файерволом , и входящие коннекты к нему разрешены только с IP-адреса нашего сервера и адресов вашего телефонного оборудования.
Онлайн-проверка сетевого порта 5060:
https://2ip.ru/check-port/?port=5060
В случае открытого порта 5060 даже при стойких паролях и надёжных прошивках поток запросов с попытками взлома может быть настолько значителен, что устройство будет перегружено и не сможет нормально работать вообще.
На что обращать внимание ?.
* На любую подозрительную активность устройства.
Самопроизвольные звонки, резкий рост расходов, зависания устройств.
* Полезно иногда просматривать историю вызовов в личном кабинете.
* С 2023-02 sip-сервер обновлён, адобе-флеш, виндовс-сервер и всё старое ПО выкинуто на свалку - никакие сторонние плагины больше не требуются. Новый веб-интерфейс работает в любом +/- современном браузере.
* Особое внимание уделите вызовам на дальние направления, особенно незнакомым.
Максимально опасны по телефонному фроду страны Африки,
прибалтика (особенно Литва/Латвия) и мелкие островные государства типа Кирибати.
В целом, дорогие фродовые направления существуют в большинстве стран мира, и крупные страны тут тоже не исключение.
В частности, закрыт ряд префиксов во Франции и США - как ни странно, но там тоже есть значительная номерная ёмкость, используемая мошенниками.
Мы закрыли ряд таких направлений (, в тарифе на сайте помимо стоимости будет написано "Закрыто"), и по-умолчанию вызовы туда не проходят.
Если вы считаете, что мы внесли какой-то префикс по ошибке, и у вас реально там клиент/друг/родственник - пишите, поправим.