Цифровой телефонной связью уже ни кого не удивишь. Используя эти технологии, случается довольно часто, системные администраторы в компаниях редко уделяют время безопасности, надеясь на счастливый случай. Мы расскажем Вам историю о том как не надо настраивать  VoIP АТС

К нам обратилась компания с просьбой разобраться во взломе их IP АТС, а именно кто взломал, откуда, по чьей вине, и как вернуть деньги. Забегая вперед хотим сказать, что в данном случае деньги вернуть не получилось, по этому держите эту мысль у себя в голове постоянно.

Что произошло ?

Провайдер городских линий связи заблокировал номер так как абонент превысил допустимый отрицательный баланс на номере. Нашему клиенту повезло, в хорошем смысле этого слова, злоумышленники наговорили всего на 14 000 руб — это не большая сумма, бывают и выше — и эти деньги придется сначала оплатить Вам, а потом только доказывать в суде что вы не виноваты.

Что было сделано ?

Проанализированы логи IP АТС, собраны дампы сетевого трафика идущего на АТС, проверена настройка АТС и настройка аппаратного Firewall’a, проведет аудит безопасности.

Проверив логи IP АТС мы определили время взлома и IP адрес злоумышленника.
Злоумышленником был хост и сетей Палестины, а именно и Сектора Газы — привлечь каким то образом к ответственности конкретных людей из зарубежных стран практически не возможно.

Злоумышленники выбрали намеренно выходные дни, что бы у них было больше времени на противоправные действия.

Проверив настройки IP АТС и Firewall’a мы обнаружили ряд «ошибок» в конфигурации

  1. На firewall’e SIP порт 5060 был проброшен до IP АТС и не был каким либо образом защищен фильтром, иными словами с любого IP адреса злоумышленники могли пытаться подключится к IP АТС (взлом произошло через перебор паролей к SIP аккаунту)
  2. В настройках IP АТС у SIP аккаунта был установлен простой пароль — что и привело к взлому и тратам денежных средств.

Что делать что бы такого не произошло?

  1. Не используете простые пароли, да же если вам кажется что в этом ничего страшного нет или это не удобно запоминать.
  2. Настраивайте Firewall правильно, разрешайте соединения только с доверенных IP адресов — это не только защитит вас от взлома, но и снизит нагрузку на IP ТАС
  3. Не забывайте обновлять прошивки на IP телефонах и IP АТС
  4. Не оставляйте пароли по умолчанию на оборудовании
  5. Делайте бэкапы и храните логи за несколько месяцев — это поможет в расследовании
  6. Потратьте эти 14 000 рублей на аудит безопасности или на премию системному администратору а не платите эти деньги «друзьям» из Палестины

автор:Елена Фельдман