Если кто-либо из Вас, когда-нибудь задавался вопросом, почему значительно увеличилось количество атак на SIP терминалы, ответ будет прост: «детские шалости». В последние несколько месяцев количество нового программного обеспечения, которое легко атакует Астериск и SIP терминалы, значительно выросло. Существует множество легкодоступных сетевых сканеров, которые обнаруживают SIP устройства и сканируют их на допустимые добавочные номера, а после пытаются подобрать для них пароль.
Теперь Вы можете пошагово и незамедлительно решить большинство проблем, связанных с безопасностью Вашего SIP хоста.
Мне кажется, что VoIP сообщество заинтересовано в интеграции решений на базе Астериск с системой динамической защиты («черные списки» сообщества остро обсуждаются на форумах), но это не означает, что Вы должны ожидать какую-то новую программу или решение по защите Вашей VoIP инфраструктуры. Вы можете прямо сейчас принять меры по защите Вашего сервера Астериск от все нарастающего количества атак! Методы и средства защиты уже существуют – просто примените их и Вы будете спать по ночам более спокойно!
Шаг первый
Не принимайте запросы на аутентификацию из SIP сети от всех IP адресов. Для этого в файле конфигурации sip.conf используйте опции «permit=» и «deny=», чтобы разрешить корректное подмножество IP адресов для каждого SIP пользователя. Даже когда Вы принимаете входящие звонки от «кого-угодно» (опция в секции [default]), не позволяйте этим пользователям получить доступ к элементам для которых нужна аутентификация.
Шаг второй
Всегда устанавливайте в sip.conf опцию “alwaysauthreject=yes”. Эта опция впервые была введена а версии Асетриска 1.2, но и по сей день имеет значение по умолчанию «no». Установка опции в значение «yes» должно отклонять неправильную аутентификацию, как для не легитимного имени пользователя, так и для не правильного пароля, что не дает возможности атакующей стороне обнаружить существующий добавочный номер при помощи атаки «грубой силы».
Шаг третий
Использование сильных паролей для объектов SIP. Этот шаг, возможно, наиболее важный в организации защиты SIP сети. Не создавайте паролей, которые состоят из двух слов, не добавляйте к слово из словаря цифру 1. Если бы Вы видели на сколько сложны и интеллектуальны средства подбора паролей, Вы бы поняли на сколько легко обходят такое тривиальное запутывание современные процессоры! Используйте символы, числа и буквы верхнего и нижнего регистра, а длину пароля делайте не менее 12 символов!
Шаг четвертый
Блокируйте порт интерфейса управления Астериском (AMI). В файле конфигурации manager.conf используйте строки «permit=» и «deny=», чтобы сузить входящие соединения с интерфейсом управления только для доверительных хостов. Как и на этапе «Сильный пароль», создавайте сложные пароли длиной не менее 12 символов.
Шаг пятый
Ограничивайте количество одновременный вызовов для пира двумя сеансами (опция call-limit)! Так Вы ограничите действия мошенников, которые уже подобрали правильное имя пользователя и пароль. Следите за тем, чтобы легитимные пользователи хранили свои пароли в тайне, а не записывали пароль прямо на корпусе SIP телефона! Бывает и такое!
Шаг шестой
Убедитесь, что имя пользователя отличается от добавочного номера. В то время как внутренний номер, например «1234» может соответствовать имени пользователя с таким же именем «1234», лучше всего создать имя пользователя SIP, которое соответствует MAC адресу сетевой карты пользователя или комбинации внутреннего номера, которому соответствует пользователь, и md5 дополнение. Это можно сделать следующим образом прямо с командной строки оболочки:
md5 -s ThePassword5000
Шаг седьмой
Удостоверьтесь, что контекст [default] безопасен. Не разрешайте аутентифицированным пользователям попадать в контекст, в котором можно осуществлять платный вызов! Разрешайте только ограниченному числу вызовов проходить через [default] контекст (в качестве счетчика можно использовать функцию GROUP). Запретите все не аутентифицированные вызовы (если у Вас таких не должно быть вовсе) путем установки опции «allowguest=no» в секции [general] файла sip.conf. А лучше всего вообще ни иметь никаких записей в [default], кроме одной — Hangup.
Заключение
Вышеизложенные семь основных шагов защиты позволяют обезопасить большинство инсталляций Астериск, но все же существуют другие шаги, которые более сложные. Например, утилита fail2ban позволяет запретить («забанить») использование ресурсов сервера конечному SIP устройству, после превышения установленного лимита попыток регистрации на сервере. Это очень нужна и полезная настройка Вашей VoIP системы.
Если Вам интересно увидеть пример, как работают утилиты сканирования, взлома и подбора паролей через GUI интерфейс, можно посмотреть этот видео ролик
Базовые методы защиты позволяют защитить Вашу SIP инфраструктуру от основных атак по методу «грубой силы», т. е. банальным перебором словарей. Большинство атакующих – это некомпетентные люди, располагающие сильными инструментами взлома сетевой инфраструктуры. Для них это средства легкой наживы на тех людях, которые не уделили должного внимания безопасности SIP инфраструктуры. Астериск имеет некоторые встроенные средства предотвращения наиболее очевидных атак на сервер, но наиболее эффективными методами защиты по прежнему остаются сложные пароли пользователей и неизвестные имена пользователей системы.
Перевод статьи Джона Тодда из Digium.
Информацию собрала и подготовила команда компании "MyAsterisk"
Автор: AgentSmit