Hlavní navigace

Volný vzdělává a chrání své klienty: Zabezpečení VoIP ústředen a telefonie

[Tisková zpráva] Praha, 17. prosince 2009 – V poslední době se množí útoky hackerů, kteří se nabourávají do internetových telefonních ústředen (tzv. VoIP ústředny). Majitelům ústředen tím tak vznikají mnohdy až milionové škody. Společnost Volný již učinila patřičná technická opatření, aby podobným podvodům zabránila. Zároveň pro své zákazníky a širokou veřejnost připravila návod, jak se lze podobným útokům bránit.

Podvodníci zneužívají špatné či žádné zabezpečení VoIP ústředen, které cíleně vyhledávají, nabourávají se do nich a využívají je pro bezplatné telekomunikační služby na účet zákazníka. Na nastalou situaci reaguje adekvátními opatřeními společnost Volný. „Naše společnost zaznamenala několik napadení IP ústředen, přes které byl následně směrován velký provoz na exotické nebo drahé destinace. Proto jsme se rozhodli ještě rozšířit opatření pro ochranu našich zákazníků,“ vysvětluje Aleš Zeman, předseda představenstva společnosti Volný.

Společnost Volný zaměřila svou pozornost na monitorování výjimečných nárůstů provozu a služeb u jednotlivých zákazníků. „Zavedli jsme procesy, které odhalují u klientů nezvyklý provoz a ihned je pak můžeme informovat a minimalizovat škody. Přesto není v naší moci všem škodám zabránit, a proto je odpovědnost především na správcích VoIP pobočkových ústředen a IP sítí,“ vysvětluje Aleš Zeman.

Problematika VoIP ústředen
Obecně můžeme toto podvodné jednání rozdělit do následujících dvou oblastí. Podvodník uzavře smlouvu s telekomunikačním partnerem, na jejímž základě získává provizi za volání na předem definovaná čísla – tato čísla většinou bývají zahraniční prémiová čísla – stejná jakou jsou v České republice čísla 90× xxx xxx, tedy čísla se zvýšenou sazbou. Tento typ smluv je uzavřen na běžně poskytované služby, a tak není možné jednoduše poznat, že se jedná o podvod. Poté se podvodník snaží záměrně vyhledat nezabezpečené ústředny, napojit se do nich a volat na již předem definovaná čísla.

Tím druhým případem je situace, kdy podvodník opět nalezne nezabezpečenou ústřednu, napojí se do ní a poté přes ní zasílá zdarma běžný telekomunikační provoz. Zde se jedná například o přesměrování hovorů svých zákazníků do drahých zahraničních destinací. Nebo podvodník využije přesměrovaný provoz pro své další vlastní potřeby, pro své známé aj.

Vedle technických opatření se Volný také jako jediný český poskytovatel telekomunikačních služeb zaměřil na vzdělávání široké veřejnosti.

„Jedině uživatel obeznámený s reálnými hrozbami se může efektivně bránit. Proto jsme připravili na našich webových stránkách podrobného poradce – tzv. Desatero bezpečné ústředny a IP telefonie. Naše zákazníky jsme také přímo informovali dopisem, kde popisujeme problematiku zneužití ústředen a doporučení, jak se útokům ze strany hackerů bránit,“ dodává Aleš Zeman.

Desatero bezpečné ústředny a IP telefonie najdete na našich webových stránkách v sekci Zákaznická podpora https://podpo­ra.volny.cz/chran­te-sip.php

Desatero doporučení k zabezpečení VoIP ústředen a telefonie

  1. Používejte bezpečná hesla, tedy dostatečně dlouhá, a ne jednoduchá slova.
    • a. Pro hesla používejte minimálně 8 znaků. Používejte kombinace malých, velkých písmen, číslic a dalších znaků (tečky, čárky, středníky aj.)
    • b. V žádném případě nepoužívejte běžná slova, jména, postavy ze seriálů, filmů apod.Tato jména bývají velmi často používána ke slovníkovým útokům.
  2. 2. Používejte firewally podporující VoIP.
    • a. Povolte pouze ta spojení, která jsou bezpodmínečně nutná pro funkci systému.
    • b. Globálně zamezte přístup pro všechna VoIP zařízení a explicitně povolte pouze ta, která mají oprávnění volat prostřednictvím vašeho VoIP systému.
  3. Nastavte si na své ústředně limity pro provoz na jednotlivé účty i na odchozí propojení včetně upozornění například e-mailem nebo SMS při překročení limitu.
  4. Zajistěte si profesionální správu své IP ústředny.
  5. Pravidelně záplatujte SW ústředny. Proces odstraňování chyb se netýká pouze operačních systémů, ale všech softwarových aplikací bez výjimky. Pochopitelně sem patří i software pro IP ústředny. Povolte pouze ty systémové služby, které jsou nezbytně nutné pro provoz požadovaných aplikací.
    • a. Pokud možno nepoužívejte internetový super server „inetd“
    • b. Zakažte FTP, TFTP, TELNET, SSH a další služby pokud nejsou nezbytně potřebné. Zcela eliminujte možnost vzdáleného přístupu do databází, případně ho povolte pouze pro explicitně definované počítače a porty.
  6. Monitorujte a sledujte provoz ve svých IP ústřednách. Můžete tak včas odhalit útoky tím, že odhalíte nestandardní chování.
    • a. Konfrontujte záznamy s realitou a vyhledávejte zejména volání do podezřelých lokalit. Pokud je to možné, zahrňte do sledování i neuskutečněná volání, tzn. nezdařené pokusy o volání.
    • b. Pořizujte a vyhodnocujte záznamy o všech podezřelých aktivitách na Vašem VoIP systému. Myšleny jsou zejména pokusy o neoprávněnou autentifikaci a přístup do Vašeho VoIP systému a pokusy o neoprávněná či neautentifikovaná volání.
  7. Fyzicky zajistěte své IP ústředny. Zajistíte tak ochranu proti interním i externím útočníkům.
  8. 8. Povolte volání výhradně od autentifikovaných VoIP klientů.
    • a. Všechny VoIP účty musí bezpodmínečně vyžadovat autentifikaci od svých VoIP klientů.
    • b. Bezodkladně a s trvalou platností zamezte volání prostřednictvím jakýchkoliv implicitních či defaultních SIP účtů.
  9. 9. Převeďte všechny VoIP data do VLAN (Virtual Local Area Network), aby bylo možno dát VoIP paketům vyšší prioritu pro plynulost komunikace. Tím získáte ochranu proti DoS útokům, odposlouchávání a přebírání konverzace. Nehledě na to, že při dostatečně rezervované kapacitě pro VLAN nevznikají problémy s dostupností služby.
  10. Provádějte pravidelně bezpečnostní audity. Jen tak zjistíte, jaký má provozování VoIP dopad na váš systém, na bezpečnost, jaká je interakce s dalšími programy atd.