Рекомендации по соблюдению информационной безопасности VOIP-оборудования
Рекомендации по соблюдению информационной безопасности VOIP-оборудования для избежания генерации несанкционированного трафика на МН-направления
Постарайтесь разместить Ваше VoIP оборудование в выделенном сегменте сети (логическом либо физическом), максимально исключающем возможность удаленного доступа. Если при эксплуатации оборудования используется удаленный доступ, то с целью исключить несанкционированный доступ необходимо соблюдать следующие рекомендации:
Дпя удаленного доступа к оборудованию VoIP серверов необходимо использовать VPN-туннелирование, авторизация должна обеспечиваться с помощью индивидуальной системы доступов, например, eToken-ов, однозначно идентифицирующих сотрудников.
Настройку VPN-шлюзов, обеспечивающих авторизацию удаленных подключений, лучше доверить специалисту с соответствующим сертификатом.
Убедитесь, что для удаленного управления вашим сервером разрешены исключительно защищенные протоколы, обеспечивающие шифрование данных, такие как SSHv2‚ HTTPs. Все остальные возможные протоколы управления необходимо в принудительном порядке запретить для использования.
Убедитесь, что ваш VoIP сервер не имеет интерфейсов в незащищенные логические сети (корпоративная сеть, сеть услуг, и т.д.)‚ в которые злоумышленник может легко получить доступ.
Для авторизации на вашем оборудовании используйте криптоустойчивые пароли (не менее восьми символов, содержащие в обязательном порядке буквы обоих регистров, спецсимволы и цифры). Пароль НЕ должен включать слова либо другие осмысленные конструкции. Например, пароль Admin1@3 — слабый пароль, который легко подобрать, пароль E6@bc^gl$a — более сложный пароль. Примите организационные или технические меры, которые не позволят пользователям устанавливать простые пароли. Храните администраторские пароли от оборудования в месте, доступном только для соответствующих администраторов (желательно в изолированном от сети месте).
Смените все пароли, установленные производителем по умолчанию на вашем VoIP оборудовании, а также на оборудовании и программном обеспечении для защиты сети и удаленного доступа. Требования к сложности паролей должны соответствовать приведенным в п. 3.
Проводите регулярный (не реже 1 раза в месяц) аудит учетных записей пользователей и администраторов VoIP оборудования и оборудования удаленного доступа, удаляйте незадействованные учетные записи.
Если на вашем VoIP оборудовании используются подключения SIP REGISTER с авторизацией по логину и паролю, требования к паролю для учетной SIP записи должны соответствовать приведенным в п. 3.
Для каждого из VoIP подключений принудительно ограничьте максимально возможное количество вызовов. Даже если злоумышленник подберет пароль, это возможно снизит объемы несанкционированного трафика
Не открывайте без необходимости доступ к МН связи — основные финансовые потери возникают от генерации вызовов на МН-направления.
Установите на Вашем VoIP оборудовании параметры, временно блокирующие возможность регистрации аккаунта, в случае, если за определенный промежуток времени пароль был несколько раз неправильно введен (было несколько не успешных попыток).
Используйте для защиты своих VoIP серверов Session Border Controller устройства (SBC). При настройке SBC особое внимание уделяйте настройкам в части защиты от взлома, следуйте рекомендациям производителя.
Используйте устройства Firewall для ограничения доступа в сеть, разрешайте доступ к интерфейсам управления только с выделенных администраторам ресурсов.
Постоянно контролируйте объемы и направления МН-вызовов. При выявлении подозрительного трафика немедленно отключите выход на МН-сеть на своем оборудовании и сообщите информацию о подозрительном трафике МН-оператору.
Сообщите оператору контакты ответственного сотрудника по взаимодействию с оператором для решения оперативных вопросов. У данного сотрудника должна быть возможность оперативного отключения услуг связи в режиме 24/7.