Статьи

Как сделать 3CX Phone System Version 9 более безопасной

2010-09-17 13:01
С релизом 9 версии было решено добавить дополнительный функционал безопасности для АТС.

Новую функцию "3CX Anti-Hacking" можно найти в разделе Настройки - Дополнительно - вкладка Anti-Hacking.

Его главная задача состоит в блокировании вредоносных атак, направленных на сервер 3CX Phone System в случае, если администратором не приняты необходимые меры предосторожности на уровне брандмауэра. Система отслеживает и блокирует flood / DoS-атаки, а также попытки подбора паролей (brute force).


Основные настройки 3CX Anti Hacking доступны в Настройки - Дополнительно - вкладка Anti-Hacking

Защита от ошибочных аутентификаций (Failed Authentication Protection)


Эта функция защищает от попыток подбора паролей к внутреннему номеру по словарю. При этом злоумышленник шлет несколько сообщений INVITE, и после ответа сервера "Proxy authentication Required message" отправляет INVITE с параметрами аутентификации. Если вы оставите параметр по умолчанию, то атакующий сможет сделать не более 25 попыток подобрать пароль.

Однако, не стоит делать пароли внутренних номеров совпадающими с этими номерами, например 100 - 100. Если пароль будет содержать например 6 цифр, то для взлома понадобится гораздо большее количество попыток.

Если с IP-адреса получено более 25 неудачных попыток авторизации, то он помещается в "черный список" на время заданное в параметре "Blacklist time interval" – по умолчанию 30 минут.



Таймаут черного списка (Blacklist time interval) – по умолчанию 1800 секунд (30 мин.)


Эта настройка определяет сколько времени будет блокироваться IP-адрес атакующего хоста. По умолчанию - 30 минут, как у большинства VoIP операторов, в случае если они получают большое количество запросов на регистрацию с одного адреса.




Уровень 1 - Зеленый (Security Barrier 1 – Green)


В указанный период 200 миллисекунд система the Anti Hacking просто отслеживает пакеты и запросы приходящие на сервер 3CX Phone System, но никаких действий не предпринимает. Это сделано для некоторых устройств, которые при включении отправляют большое количество информации на сервер. Счет чик включается после получения сообщения INVITE/REGISTER.



Уровень 2 - Желтый (Security Barrier 2 – Amber)


Это второй уровень защиты. Он отображает какое количество пакетов может быть отправлено с определенного IP-адреса. По умолчанию это 2000 пакетов в секунду. Если хост отправляет больше 2000, то значит что-то не в порядке.

На этом этапе алгоритм  Anti Hacking не блокирует его а отправляет сообщение 503 “Too many requests resend after 5 seconds”. Скорее всего атакующий хост не анализирует ответы и сообщение 503будет проигнорировано.

В итоге атака будет заблокирована последним уровнем. Вы можете уменьшить это значение, но помните что для загруженных систем и для ISDN E1 шлюзов с 4 E1 портами, данное значение нужно увеличить.



Уровень 3 - Красный (Security Barrier 3 – Red)


Это последний уровень для количества пакетов в секунду. Если хост отправляет более указанного среднего значения, он будет помещен в "черный список". Значения по умолчанию - 4000 пакетов в секунду, если значение превышает указанно, то адрес/устройство заносится в "черный список".



Дополнительная информация и советы


  1. Всегда ставьте сложные ID и пароли для внутренних номеров, туннельных соединений и факсов.
  2. Если у вас SiP-телефон, Аналоговый шлюз или другое устройство с неверным паролем, через 25 попыток авторизации оно будет заблокировано. Убедитесь в правильности установленных паролей.
  3. В Direct SIP довольно сложно обеспечить безопасность, т.к. эти вызовы не требуют аутентификации. Поэтому если вы не собираетесь использовать звонки direct sip, уберите значение SIP ID из внутренних номеров. В версии 9 возможны только 2 одновременных вызова direct sip на один номер. Однако если атакующему известен SIP ID, и он смог сделать 1 звонок, то это можно считать взломом. А так, по крайней мере нужно будет сначла угадать это номер. Не оставляйте SIP ID таким же как внутренний номер.
  4. 3CX Транк и Туннели– убедитесь что для них правильно настроена аутентификация, иначе их адреса буде попадать в "черный список" и соответственно не будет соединения с уделенным сервером 3CX Phone Systems.
  5. Если вы обнаружили проблему с идентификацией источника при входящем вызове от VoIP-оператора, измените шаблон настройки и исследуйте проблему потому что адрес VoIP провайдера будет занесен в "черный список".
  6.  Если вы хотите отключить функцию Anti Hacking поставьте значения уровней и ошибочных регистраций 999999, а таймаут для черного списка - 0.

Если вам нужна помощь в настройке или новое оборудование 3CX Phone, звоните нам!