Hlavní navigace

Volný vzdělává a chrání své klienty: Zabezpečení VoIP ústředen a telefonie

18. 12. 2009

[Tisková zpráva] Praha, 17. prosince 2009 – V poslední době se množí útoky hackerů, kteří se nabourávají do internetových telefonních ústředen (tzv. VoIP ústředny). Majitelům ústředen tím tak vznikají mnohdy až milionové škody. Společnost Volný již učinila patřičná technická opatření, aby podobným podvodům zabránila. Zároveň pro své zákazníky a širokou veřejnost připravila návod, jak se lze podobným útokům bránit.

Podvodníci zneužívají špatné či žádné zabezpečení VoIP ústředen, které cíleně vyhledávají, nabourávají se do nich a využívají je pro bezplatné telekomunikační služby na účet zákazníka. Na nastalou situaci reaguje adekvátními opatřeními společnost Volný. „Naše společnost zaznamenala několik napadení IP ústředen, přes které byl následně směrován velký provoz na exotické nebo drahé destinace. Proto jsme se rozhodli ještě rozšířit opatření pro ochranu našich zákazníků,“ vysvětluje Aleš Zeman, předseda představenstva společnosti Volný.

Společnost Volný zaměřila svou pozornost na monitorování výjimečných nárůstů provozu a služeb u jednotlivých zákazníků. „Zavedli jsme procesy, které odhalují u klientů nezvyklý provoz a ihned je pak můžeme informovat a minimalizovat škody. Přesto není v naší moci všem škodám zabránit, a proto je odpovědnost především na správcích VoIP pobočkových ústředen a IP sítí,“ vysvětluje Aleš Zeman.

Problematika VoIP ústředen
Obecně můžeme toto podvodné jednání rozdělit do následujících dvou oblastí. Podvodník uzavře smlouvu s telekomunikačním partnerem, na jejímž základě získává provizi za volání na předem definovaná čísla – tato čísla většinou bývají zahraniční prémiová čísla – stejná jakou jsou v České republice čísla 90× xxx xxx, tedy čísla se zvýšenou sazbou. Tento typ smluv je uzavřen na běžně poskytované služby, a tak není možné jednoduše poznat, že se jedná o podvod. Poté se podvodník snaží záměrně vyhledat nezabezpečené ústředny, napojit se do nich a volat na již předem definovaná čísla.

Tím druhým případem je situace, kdy podvodník opět nalezne nezabezpečenou ústřednu, napojí se do ní a poté přes ní zasílá zdarma běžný telekomunikační provoz. Zde se jedná například o přesměrování hovorů svých zákazníků do drahých zahraničních destinací. Nebo podvodník využije přesměrovaný provoz pro své další vlastní potřeby, pro své známé aj.

Vedle technických opatření se Volný také jako jediný český poskytovatel telekomunikačních služeb zaměřil na vzdělávání široké veřejnosti.

„Jedině uživatel obeznámený s reálnými hrozbami se může efektivně bránit. Proto jsme připravili na našich webových stránkách podrobného poradce – tzv. Desatero bezpečné ústředny a IP telefonie. Naše zákazníky jsme také přímo informovali dopisem, kde popisujeme problematiku zneužití ústředen a doporučení, jak se útokům ze strany hackerů bránit,“ dodává Aleš Zeman.

Desatero bezpečné ústředny a IP telefonie najdete na našich webových stránkách v sekci Zákaznická podpora https://podpo­ra.volny.cz/chran­te-sip.php

Desatero doporučení k zabezpečení VoIP ústředen a telefonie

  1. Používejte bezpečná hesla, tedy dostatečně dlouhá, a ne jednoduchá slova.
    • a. Pro hesla používejte minimálně 8 znaků. Používejte kombinace malých, velkých písmen, číslic a dalších znaků (tečky, čárky, středníky aj.)
    • b. V žádném případě nepoužívejte běžná slova, jména, postavy ze seriálů, filmů apod.Tato jména bývají velmi často používána ke slovníkovým útokům.
  2. 2. Používejte firewally podporující VoIP.
    • a. Povolte pouze ta spojení, která jsou bezpodmínečně nutná pro funkci systému.
    • b. Globálně zamezte přístup pro všechna VoIP zařízení a explicitně povolte pouze ta, která mají oprávnění volat prostřednictvím vašeho VoIP systému.
  3. Nastavte si na své ústředně limity pro provoz na jednotlivé účty i na odchozí propojení včetně upozornění například e-mailem nebo SMS při překročení limitu.
  4. Zajistěte si profesionální správu své IP ústředny.
  5. Pravidelně záplatujte SW ústředny. Proces odstraňování chyb se netýká pouze operačních systémů, ale všech softwarových aplikací bez výjimky. Pochopitelně sem patří i software pro IP ústředny. Povolte pouze ty systémové služby, které jsou nezbytně nutné pro provoz požadovaných aplikací.
    • a. Pokud možno nepoužívejte internetový super server „inetd“
    • b. Zakažte FTP, TFTP, TELNET, SSH a další služby pokud nejsou nezbytně potřebné. Zcela eliminujte možnost vzdáleného přístupu do databází, případně ho povolte pouze pro explicitně definované počítače a porty.
  6. Monitorujte a sledujte provoz ve svých IP ústřednách. Můžete tak včas odhalit útoky tím, že odhalíte nestandardní chování.
    • a. Konfrontujte záznamy s realitou a vyhledávejte zejména volání do podezřelých lokalit. Pokud je to možné, zahrňte do sledování i neuskutečněná volání, tzn. nezdařené pokusy o volání.
    • b. Pořizujte a vyhodnocujte záznamy o všech podezřelých aktivitách na Vašem VoIP systému. Myšleny jsou zejména pokusy o neoprávněnou autentifikaci a přístup do Vašeho VoIP systému a pokusy o neoprávněná či neautentifikovaná volání.
  7. Fyzicky zajistěte své IP ústředny. Zajistíte tak ochranu proti interním i externím útočníkům.
  8. 8. Povolte volání výhradně od autentifikovaných VoIP klientů.
    • a. Všechny VoIP účty musí bezpodmínečně vyžadovat autentifikaci od svých VoIP klientů.
    • b. Bezodkladně a s trvalou platností zamezte volání prostřednictvím jakýchkoliv implicitních či defaultních SIP účtů.
  9. 9. Převeďte všechny VoIP data do VLAN (Virtual Local Area Network), aby bylo možno dát VoIP paketům vyšší prioritu pro plynulost komunikace. Tím získáte ochranu proti DoS útokům, odposlouchávání a přebírání konverzace. Nehledě na to, že při dostatečně rezervované kapacitě pro VLAN nevznikají problémy s dostupností služby.
  10. Provádějte pravidelně bezpečnostní audity. Jen tak zjistíte, jaký má provozování VoIP dopad na váš systém, na bezpečnost, jaká je interakce s dalšími programy atd.
Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není