Основы безопасности VoIP-телефонии.

Сервис VoIP (IP-телефония): SIP, внешние номера, софт- и IP-телефоны,
Ответить
Аватара пользователя
Amin
Сообщения: 49
Зарегистрирован: 2019-май-24, 2:09 pm

Основы безопасности VoIP-телефонии.

Сообщение Amin »

Телефония - достаточно дорогой (по сравнению с интернетом/телевидением/) платный сервис. Дороже только телеграммы и СМС.

Особенности тарификации таковы, что клиент оплачивает каждый успешно соединённый исходящий вызов, тогда как цену вызова задаёт удалённая, или принимающая сторона. Это создаёт опасности взлома аккаунтов для осуществления массовых автоматических прозвонов в дальние максимально дорогие направления за счёт средств со взломанных акканутов. Ряд стран и их операторов практически не борются с телефонным мошенничеством ("фродом").


Что может быть взломано.
Обычно атакуют две точки :
* сервера регистрации (их постоянно пытаются хакнуть на предмет слабых паролей)
* устройство пользователя (sip-телефон, смартфон, компьютер с софт-фоном).

К сожалению, пользователи не умеют создавать стойкие пароли. Именно поэтому мы не предоставляем возможности поставить свой пароль на сип-учётку. Пароли генерируются случайные и длинные при каждой процедуре восстановления.


Что касается безопасности устройств клиента, то тут рекомендации такие:
* Обновляйте прошивки. Даже если устройство за роутером, соседние компьютеры в локальной сети могут попытаться взломать соседние воип-устройства, если они будут уязвимы.

* Ставьте стойкие пароли на веб-админку устройства, обязательно меняйте пароли по умолчанию.
К сожалению, не все производители оборудования в необходимой степени предупреждают пользователей о важности смены пароля.
Пароль веб-админки НЕ ДОЛЖЕН совпадать с паролем сип-учётки !

* Безопасность ОС на устройстве. Особенно актуально для компьютеров и смартфонов.
Вредоносное ПО может попытаться похитить сохранённые пароли от воип-аккаунтов и вызвонить ваш баланс.

* Проброс портов. Не все устройства умеют корректно проходить NAT, как и не все роутеры полностью корректно реализуют или вообще включают UPnP. Также такие устройства, как мини-АТС, могут быть доступны извне или как минимум из локальной сети того провайдера, где стоит ваша АТС.
В этом случае проверьте, что доступ к основному сетевому порту UDP/5060 ограничен файерволом , и входящие коннекты к нему разрешены только с IP-адреса нашего сервера.

Онлайн-проверка сетевого порта 5060:
https://2ip.ru/check-port/?port=5060

В случае открытого порта 5060 даже при стойких паролях и надёжных прошивках поток запросов с попытками взлома может быть настолько значителен, что устройство будет перегружено и не сможет нормально работать вообще.


На что обращать внимание ?.
* На любую подозрительную активность устройства.
Самопроизвольные звонки, резкий рост расходов, зависания устройств.

* Полезно иногда просматривать историю вызовов в личном кабинете.

* К сожалению, у нас не самый свежий софт на фронтэнде, написанный ещё на адоб-флеше.
Сайты на флеше лучше всего использовать только внутри виртуальной машины.
На https://voip.weba.ru/ есть ссылка на готовый OVA-образ для VirtualBox.

* Особое внимание уделите вызовам на дальние направления, особенно незнакомым.
Максимально опасны по телефонному фроду страны Африки,
прибалтика (особенно Литва/Латвия) и мелкие островные государства типа Кирибати.
В целом, дорогие фродовые направления существуют в большинстве стран мира, и крупные страны тут тоже не исключение.
В частности, закрыт ряд префиксов во Франции и США - как ни странно, но там тоже есть значительная номерная ёмкость, используемая мошенниками.

Мы закрыли ряд таких направлений (в тарифе на сайте вместо стоимости будет написано "Закрыто"), и по-умолчанию вызовы туда не проходят.
Если вы считаете, что мы внесли какой-то префикс по ошибке, и у вас реально там клиент/друг/родственник - пишите, поправим.
Ответить