[IT-инфраструктура, Сетевые технологии, Asterisk, Сетевое оборудование] Более эффективная защита IP-телефонов snom

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
13-Июл-2021 14:31

Системы VoIP состоят из множества компонентов, в которых телефоны являются одной из уязвимых составляющих и, следовательно, возможной точкой входа для хакеров. Данной статьей мы продолжим тему защиты устройств и поговорим о параметрах телефона Snom, которые настраиваются через Autoprovision, чтобы обеспечить максимально возможную безопасность без ущерба для простоты настройки и использования телефонов.
Шаги, которые мы предпримем:
  • Защитим веб-интерфейс телефона и установим надежные индивидуальные учетные данные
  • Настроим работу пользователя в режиме обслуживания
  • Обезопасим сигнализацию и передачу голоса
В конце статьи мы рассмотрим пример минимальной конфигурации защищенного телефона.Приступим.Защита веб-интерфейса телефона и установление надежных индивидуальных учетных данныхДоступ к пользовательскому веб-интерфейсу телефона и ввод данных может означать угрозу безопасности, если обмен данными между веб-браузером и веб-сервером не зашифрован. Поэтому веб-сервер телефона всегда должен либо переводиться в режим только https, либо полностью отключаться, если нет необходимости получать доступ к телефону через веб-браузер.ПараметрыОписаниеРекомендованные значенияhttp_user
http_passЛогин и пароль для доступа к веб-интерфейсуРекомендуется значение от 12 до 16 символов различного регистраuse_hidden_tagsСкрытые теги безопасности, которые защищают веб-интерфейс пользователя от удаленных злоумышленников, пытающихся изменить настройки телефона с помощью поддельных запросов HTTP POST (атака XSRF).onweb_logout_timerЗадает время в минутах, по истечении которого веб-интерфейс должен попросить пользователя снова войти в систему.Любое значение. Естественно, нужно стараться указывать минимальное, однако оно не должно мешать вашим пользователям взаимодействовать с интерфейсом телефонаwebserver_typeУказание протокола, по которому телефон будет принимать соединение с Web-сервером.
Примечание: Изменение данного параметра требует перезагрузки телефона.httpsoffНастройка пользователя в режиме обслуживанияСервисный режим (или режим обслуживания) - это специальная учетная запись пользователя для доступа к телефону и временного переключения его из пользовательского режима в режим администратора. При выходе, телефон вернется в пользовательский режим. Эту учетную запись можно использовать для удаленного управления телефоном и выполнения действий, запускаемых HTTP-запросами, поступающими из сторонних приложений (например, CTI для набора по нажатию).ПараметрыОписаниеРекомендованные значенияservice_mode_loginservice_mode_passДополнительная учетная запись для управления аппаратом.
Примечание: для данного параметра должен быть установлен режим «read only».Рекомендуется значение от 12 до 16 символов различного регистраadmin_mode_upon_http_loginОпределяет, должен ли быть включен режим администратора, когда учетные данные service_mode используются для HTTP-входа в веб-интерфейс пользователя (WUI). Выход из WUI снова отключит режим администратора.on: пароль администратора не будет запрашиватьсяoff: будет запрашиваться пароль администратораБезопасная сигнализация и голосовая связьЗвонки VoIP уязвимы для множества угроз, в отличие от обычных телефонных звонков. Подслушивание звонков или использование чужих телефонных номеров и учетных записей SIP - это лишь две самые распространенные из них. Шифрование - один из важнейших методов защиты компьютерных данных. Чтобы обеспечить безопасную передачу голоса по IP, необходимо зашифровать как сигнальные пакеты (SIP), так и аудиопоток (RTP). Защита SIP-трафика Безопасность транспортного уровня (TLS) может обеспечить безопасный канал связи между двумя взаимодействующими объектами. Основная цель протокола TLS - обеспечить конфиденциальность и целостность данных между двумя взаимодействующими приложениями. Протокол позволяет клиент-серверным приложениям обмениваться данными таким образом, чтобы предотвратить подслушивание или подделку сообщений.ПараметрыОписаниеРекомендованное значениеuser_outboundЗадает исходящий прокси-сервер, чтобы гарантировать, что все пакеты SIP отправляются через указанную точку связи.Добавьте “;transport=tls” к имени сервера регистрации, например: 
myhostedvoip.com;transport=tls Устройство, использующее TLS можно настроить так, чтобы разрешить только безопасное соединение с другими SIP-устройствами. Для этого требуется, чтобы клиент сначала установил соединение TLS / SSL с сервером, а затем обменивался с ним зашифрованными сообщениями SIP по уже созданному безопасному соединению. Поскольку эта технология основана на общем ключе, известном только серверу и клиенту, этот механизм делает крайне трудным (хотя и теоретически возможным) просмотр, манипулирование или повторное воспроизведение сообщений для того кто пробует их перехватить.
Наилучший доступный транспортный механизм может быть выбран автоматически путем создания служебных записей DNS (DNS-SRV) с приоритетами для UDP, TCP и TLS.Шифрование медиаМедиа-коммуникации также могут быть защищены с помощью шифрования. VoIP-устройства могут шифровать аудиопотоки с помощью SRTP (безопасный транспортный протокол в реальном времени). SRTP - это профиль безопасности для RTP, который добавляет этому протоколу конфиденциальность, аутентификацию сообщений и защиту от изменения. SRTP идеально подходит для защиты трафика передачи голоса по IP, ведь его можно использовать вместе со сжатием заголовков, а значит он не будет влиять на QoS. Он создает уникальный ключ для каждого пакета RTP, поэтому перехватчики едва ли смогут получить изначальный голосовой поток из полученных данных. SRTP также обеспечивает защиту от изменений, что очень важно при передаче голоса. В противном случае злоумышленник может выполнить простые манипуляции с данными, которые могут поставить безопасность под угрозу. Банальная подмена «да» на «нет» в диалоге принципиально меняет смысл общения, а это возможно, если защита от изменения отсутствует.ПараметрыОписаниеРекомендованные значенияuser_savpОпределяет, должно ли использование телефона профиля RTP / SAVP быть отключенным (для обратной совместимости), необязательным или обязательным.mandatory или optionaluser_srtpВключает / отключает шифрование RTPon При использовании шифрования медиа и сигнализации, телефон будет отображать соответствующий символ в верхней правой части дисплея, сообщая пользователю, что его общение защищено от злоумышленников.
Пример минимальной конфигурации защищенного телефона.Финальным аккордом предлагаем вам рассмотреть готовый конфигурационный файл. Он может быть использован как шаблон для ваших телефонов. Естественно, параметры логина и пароля стоит изменить перед загрузкой данной конфигурации на ваши устройства.
<?xml version="1.0" encoding="utf-8"?>
<settings>
  <phone-settings>
    <!-- PHONE WEBSERVER PROTECTION -->
    <webserver_type perm="R">https</webserver_type>
    <http_user perm="R">username</http_user>
    <http_pass perm="R">7X@y8Ob%4308<http_pass>
    <use_hidden_tags perm="R">on<use_hidden_tags>
    <web_logout_timer perm="R">5</web_logout_timer>
    <!-- MAINTENANCE USER ACCOUNT -->
    <service_mode_login perm="R">maintenance<service_mode_login>
    <service_mode_pass perm="R">J#Iwc68521P4</service_mode_pass>
    <admin_mode_upon_http_login perm="R">on</admin_mode_upon_http_login>
<!-- MEDIA & SIGNALLING ENCRYPTION -->
<user_outbound perm="R">my.hostedpbx.com;transport=tls</user_outbound>
<user_srtp perm="R">on</user_srtp>
<user_savp perm="R">mandatory<user_savp>
</phone-settings>
</settings>
 
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_itinfrastruktura (IT-инфраструктура), #_setevye_tehnologii (Сетевые технологии), #_asterisk, #_setevoe_oborudovanie (Сетевое оборудование), #_voip, #_telefon (телефон), #_voiptelefon (voip-телефон), #_siptelefonija (sip-телефония), #_iptelefonija (ip-телефония), #_decttelefonija (dect-телефония), #_snom, #_blog_kompanii_snom_technology_gmbh (
Блог компании Snom Technology GmbH
)
, #_itinfrastruktura (
IT-инфраструктура
)
, #_setevye_tehnologii (
Сетевые технологии
)
, #_asterisk, #_setevoe_oborudovanie (
Сетевое оборудование
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 04:05
Часовой пояс: UTC + 5