Мы продолжаем наши обзорные статьи, посвященные безопасности.
В данной статье мы рассмотрим практические советы, которые будут полезны для предприятий среднего и малого бизнеса в обеспечении безопасности их систем унифицированных коммуникаций.
Краткий экскурс в терминологию, выдержка из википедии: "Унифицированные коммуникации (англ. Unified communications, UC) — это технология, представляющая собой интеграцию услуг реального времени таких как: мгновенные сообщения (чат), информация о присутствии (presence), телефония (включая IP-телефонию), видеоконференция, совместная работа над документами, управление вызовами и распознаванием речи с унифицированными почтовыми системами (голосовая почта, электронная почта, SMS и факс)".
Унифицированные коммуникации могут стать причиной нестандартных испытаний на прочность, потому что они сочетают в себе разрозненные технологии. Использование VoIP, видео, чата и системы мониторинга присутствия вместе доказало выгоды для большей продуктивности в бизнесе, но также они несут с собой и риск.
В частности, обеспечение безопасности VoIP не то же самое, что обеспечение безопасности сетей. Большее количество трафика данных транспортируется через TCP и в этом случае безопасность построена, сосредотачиваясь на TCP. VoIP основан на UDP и чувствителен ко времени. Если посылка нескольких пакетов, превышая время скачивания из сети, может просто привести к повторной отправке пакетов, то видео и голос более уязвимы. Посылая слишком много UDP пакетов в голосовой поток может стать причиной потери качества звонков. В таком случае вашей системе унифицированных коммуникаций требуется сбалансированный подход в обеспечении безопасности. Вы должны сдерживать угрозы одновременно с поддержанием качества сервиса.
Поддержка безопасности для предприятий малого и среднего бизнеса порождает уникальные задачи по сравнению с крупным бизнесом. В то время, когда крупный бизнес может затратить существенные ресурсы в направлении обеспечения безопасности, малым организациям требуется решение одновременно эффективное и простое. И, поверьте, простота и безопасность могут работать вместе.
И даже напротив, установка дорогого и сложного решения для безопасности вашей системы может работать против вас. Неправильно настроенное оборудование может ухудшить качество связи. Помните, доступность - ключевой компонент безопасности.
Несмотря на то, что безопасность унифицированных коммуникаций - нишевое решение для малого и среднего бизнеса, есть методы обеспечения безопасности эффективные как для крупных компаний, так и для малых с различной вариативностью технологий. Следующие 7 советов помогут держать безопасность ваших систем на высоком уровне.
Учитывая разнообразие фаерволов на любой вкус, дать совет достаточно сложно. Так что укажем на вещи, применяемые практически в любой конфигурации. Для начинающих всегда полезно держать фокус на безопасности. Это значит быть технически хорошо знакомым с вашим оборудованием и его конфигурацией.
Хорошее общее правило - блокировать весь неизвестный трафик в вашей сети и разрешать запросы только от доверенных источников. Эта стратегия не всегда хорошо работает на web-сервере, но ваш UC-сервер должен быть абсолютно изолирован вашим фаерволом. В большинстве случаев вы должны допускать только интернет трафик от вашего ITSP (Internet Telephony Service Provider) или VoIP провайдера. Это компании, которые предоставляют SIP линии или VoIP сервисы.
Некоторые сложные фаерволы имеют функцию SIP ALG (Application Level Gateway) и хотя SIP ALG рекламируется как функция безопасности, она, к сожалению, не работает как надо - SIP ALG имеет тенденцию портить SIP пакеты, что приводит к сбоям. Поэтому следует хорошо протестировать эту функцию или просто ее отключить.
Сюрприз в том, что большинство компаний среднего и малого бизнеса не используют фаервол. Или используют, но оставляют порты открытыми для всех, чтобы пользователи работали удаленно. Это почти то же, что не использовать его вовсе. Некоторые UC-сервера имеют встроенную защиту, но ей редко стоит доверять на все 100%. Фаервол создан сортировать трафик, ваш сервер - нет. Использование каждой вещи по его прямому назначению поможет обеспечить лучшую безопасность.
Для малого и среднего бизнеса для работы удаленных пользователей лучше использовать VPN.
VPN - Virtualized Private Network - виртуальная частная сеть. Множество сетевых девайсов имеют встроенную поддержку VPN. Для ваших удаленных пользователей или подключая дополнительный офис, простейшая опция, это использование VPN на обоих концах. Это сохранит ваш трафик в безопасности.
VPN предлагает ряд преимуществ:
- в дополнение к VoIP сервисам, удаленный пользователь может иметь доступ к локальным ресурсам сети, интранет и другим web-приложениям.
- трафик зашифрован;
- открыты только некоторые порты в фаерволе для VPN трафика. Они могут быть открыты всем сетям, т.к. VPN требует авторизацию перед соединением.
Использование сложных паролей сам по себе эффективный метод защиты. Сложный пароль должен быть использован везде и для каждого пользователя без исключения. Бизнес VoIP телефоны должны быть особенно защищены уникальным SIP паролем. Помните, что повторное использование пароля или слабые пароли очень облегчают атакующему доступ к SIP профилям. Авторизовавшись с SIP аккаунтом, атакующий может совершать звонки, нанося немалый материальный урон.
В callbox, кстати, использована единая система авторизации, это облегчает пользователю использование и избавляет от запоминания множества сложных паролей.
Стандартный совет для безопасности, актуальный для любой технологии - обновлять программное обеспечение регулярно. Также как получение исправлений багов, обновления помогают улучшить безопасность. Когда находятся потенциальные угрозы производители быстро выпускают патчи в обновлении системы. Обычно самая свежая версия - самая безопасная.
callbox обновляется регулярно, постоянно улучшается функционал и безопасность системы, не реже раза в 2 месяца.
Хорошее правило - если вы не используете сервис - лучше его отключить. Это уменьшит потенциальное поле для атак.
Часто атаки остаются необнаруженными до тех пор, пока не нанесен большой ущерб. Регулярный просмотр логов поможет выявить угрозу и начать действовать вовремя. В частности, регулярный запуск отчета по логам поможет создать базу "нормальной активности". Потом у вас будет возможность отследить аномалии, когда превышается бюджет или присутствуют нетипичные направления.
Бывает, что провайдеры помогают отследить такие аномальные активности. Они могут уведомлять, когда предустановленный лимит превышен. Но, к сожалению, далеко не все провайдеры предоставляют такой сервис. В нашей прошлой статье мы обсуждали случай, когда был взломан сервер компании и оператор требовал оплатить ворованный трафик по дальним направлениям. В конечном счете, большинство провайдеров будет настаивать, что абонент несет ответственность за свою систему сам.
Использование Firewall и VPN может улучшить безопасность системы. Однако, используя преимущества встроенной защиты в IP АТС повысит уровень безопасности еще больше.
В callbox, к примеру, уже в базовой версии реализован модуль GeoIP - при включении данного модуля, автоматически создаются цепочки правил в iptables с доверенными IP адресами, с которых возможно будет подключение к IP АТС. По умолчанию добавляются все IP адреса РФ и локальные адреса. При необходимости клиент сам может добавить в исключения свои доверенные IP адреса. Все остальные IP не входящие в данные списки автоматически игнорируются. При отключении данного модуля все IP становятся доверенными.
Напишите в комментариях какие еще способы защиты унифицированных коммуникаций вы используете . Держите в голове, что защита ваших данных и систем - ваша ответственность. Будьте внимательны и убедитесь, что описанные в этой статье способы вам подходят.
В свою очередь мы предлагаем попробовать наше решение callbox - абсолютно бесплатно, зарегистрировавшись на getcallbox.ru
Информация о решениях компании MyAsterisk доступна на сайте компании myasterisk.ru
