Безопасность при работе с VoIP
В последнее время участились атаки на VoIP-оборудование. Данный материал должен помочь обезопасить от взлома ваше оборудование.
Общие правила по безопасности:
1. Никогда не используйте стандартные авторизационные данные например, логин: admin, пароль: admin;
2. Никогда не используйте легкие пароли: qwerty, rfvtgb, edcbhu, p@ssw0rd, ....;
3. По возможности не используйте стандартные порты SSH: 22, http: 80 (8080), telnet: 23, sip: 5060. Все сканеры в первую очередь сканируют стандартные порты;
4. Работать с SIP телефонами по возможности только за NAT (подключайте SIP оборудование к маршрутизатору (router);
5. Не настраивайте на маршрутизаторе и точках доступа опцию DMZ;
6. Не пользоваться сомнительными Софтфонами;
7. Настоятельно рекомендуем настраивать опцию в Личном кабинете "Разрешить доступ по протоколу SIP только с указанных адресов" и Разрешенных направлений вызовов в Личном кабинете;
8. Рекомендуем обновлять SIP-оборудование на последние ПО;
9. Использовать антивирусы на компьютерах, где установлены программные телефоны;
10. Рекомендуем настроить проброс не со всего интернета, а только с адресов провайдера
Общие правила безопасности по SIP телефоном и VoIP шлюзам
Как обеспечить безопасность вашего SIP телефона и VoIP шлюза: Самым эффективным способом защиты абонента от взлома является установка VoIP оборудования за NAT. Если мы устанавливаем устройство на внешний IP-адрес, то необходимо:
1.1 Сменить логин/пароль на Web-интерфейсе
1.2 Закрыть доступ к Web-интерфейсу;
1.3 Сменить логин/пароль на telnet, на том оборудование на котором это возможно;
1.4 Закрыть доступ к telnet на том оборудование на котором это возможно, ;
1.5 Разрешить общаться по протоколу SIP только с нашим SIP-Proxy,
1.6 В личном кабинете поставить галочки только на тех направлениях, на которые реально абонент будет звонить,;
1.7 В личном кабинете настроить авторизацию только с того IP-адреса, с которого будет подключаться VoIP оборудование,
1.8 Сменить локальный порт по умолчанию (5060) на любой другой (желательно брать выше 6000)
1.9 Рекомендуем настроить проброс не со всего интернета, а только с адресов провайдера
Надежные пароли
Политика компании MANGO OFFICE требует от вас использования надежных паролей для SIP- акаунтов, SIP телефонов и VoIP шлюзов. Ваш пароль должен содержать не менее 8 символов, включать цифру, букву в верхнем регистре и букву в нижнем регистре, но не должен содержать три последовательных одинаковых символа.
Для оборудования D-Link
В связи с случаями несанкционированных звонков через VoIP-шлюзы(D-Link) настоятельно рекомендуем настроить caller filter на шлюзах.
Общие правила по безопасности:
1. Никогда не используйте стандартные авторизационные данные например, логин: admin, пароль: admin;
2. Никогда не используйте легкие пароли: qwerty, rfvtgb, edcbhu, p@ssw0rd, ....;
3. По возможности не используйте стандартные порты SSH: 22, http: 80 (8080), telnet: 23, sip: 5060. Все сканеры в первую очередь сканируют стандартные порты;
4. Работать с SIP телефонами по возможности только за NAT (подключайте SIP оборудование к маршрутизатору (router);
5. Не настраивайте на маршрутизаторе и точках доступа опцию DMZ;
6. Не пользоваться сомнительными Софтфонами;
7. Настоятельно рекомендуем настраивать опцию в Личном кабинете "Разрешить доступ по протоколу SIP только с указанных адресов" и Разрешенных направлений вызовов в Личном кабинете;
8. Рекомендуем обновлять SIP-оборудование на последние ПО;
9. Использовать антивирусы на компьютерах, где установлены программные телефоны;
10. Рекомендуем настроить проброс не со всего интернета, а только с адресов провайдера
Общие правила безопасности по SIP телефоном и VoIP шлюзам
Как обеспечить безопасность вашего SIP телефона и VoIP шлюза: Самым эффективным способом защиты абонента от взлома является установка VoIP оборудования за NAT. Если мы устанавливаем устройство на внешний IP-адрес, то необходимо:
1.1 Сменить логин/пароль на Web-интерфейсе
1.2 Закрыть доступ к Web-интерфейсу;
1.3 Сменить логин/пароль на telnet, на том оборудование на котором это возможно;
1.4 Закрыть доступ к telnet на том оборудование на котором это возможно, ;
1.5 Разрешить общаться по протоколу SIP только с нашим SIP-Proxy,
1.6 В личном кабинете поставить галочки только на тех направлениях, на которые реально абонент будет звонить,;
1.7 В личном кабинете настроить авторизацию только с того IP-адреса, с которого будет подключаться VoIP оборудование,
1.8 Сменить локальный порт по умолчанию (5060) на любой другой (желательно брать выше 6000)
1.9 Рекомендуем настроить проброс не со всего интернета, а только с адресов провайдера
Надежные пароли
Политика компании MANGO OFFICE требует от вас использования надежных паролей для SIP- акаунтов, SIP телефонов и VoIP шлюзов. Ваш пароль должен содержать не менее 8 символов, включать цифру, букву в верхнем регистре и букву в нижнем регистре, но не должен содержать три последовательных одинаковых символа.
Для оборудования D-Link
В связи с случаями несанкционированных звонков через VoIP-шлюзы(D-Link) настоятельно рекомендуем настроить caller filter на шлюзах.
