На этой неделе специалисты компании Digium в своем блоге обсудили методы эффективного обеспечения безопасности UC-систем. В этом посте вы найдете несколько полезных практических советов, применимых для обеспечения безопасности UC-систем, используемых в малом и среднем бизнесе.

Обеспечение безопасности унифицированных коммуникаций представляет собой абсолютно нетривиальную задачу, ввиду того, что UC-системы объединяют в себе множество разнообразных технологий.

В частности, обеспечение безопасности VoIP - сетей никак нельзя сравнивать с обеспечением безопасности компьютерных сетей передачи данных. Большинство трафика в компьютерных сетях передается по протоколу TCP и, таким образом, средства безопасности, встроенные в сетевые устройства, такие как маршрутизаторы и межсетевые экраны, строятся вокруг TCP-ориентированных сетей. VoIP-сети базируются на протоколе UDP и являются очень чувствительными к искажениям передачи данных по времени.

Например, если при загрузке какого-либо сайта потерялось несколько пакетов, то это вряд ли вызовет много проблем - пакеты могут быть просто загружены повторно. Видео- и голосовые потоки являются более “хрупкими”. Потеря слишком большого количества UDP-пакетов в голосовом потоке может привести к значительному ухудшению качества связи.

Кроме того, управление безопасностью в малом и среднем бизнесе несколько отличается от того, что мы наблюдаем в масштабах больших корпораций. В то время как крупные предприятия часто могут затратить значительные ресурсы на обеспечение безопасности, то в рамках среднего и малого бизнеса нужны решения, которые являются эффективными и простыми одновременно. Важно отметить, что установка дорогостоящего оборудования не всегда является преимуществом: неправильно настроенные девайсы могут повлиять на качество связи и, возможно, вообще “повесить” систему. Помните, что простота развертывания системы обеспечения безопасности является ключевым компонентом в построении защищенной сети.

Несмотря на то, что обеспечение безопасности унифицированных коммуникаций в среднем и малом бизнесе отличается от крупного бизнеса, некоторые универсальные рекомендации по безопасности, применимы и здесь. Советы, описанные ниже, помогут вам поддерживать безопасность вашей UC-системы на должном уровне.

Развертывание правильно настроенного брандмауэра Использование VPN-туннелей для удаленных пользователей Использование надежных паролей Регулярное обновление всех систем Отключение неиспользуемых опций Мониторинг журнала вызовов Использование встроенных средств безопасности

Учитывая все разнообразие доступных моделей брандмауэров, давать конкретные рекомендации достаточно трудно. Так что здесь мы приведем несколько практических советов, подходящих практически для любой конфигурации. При первом знакомстве с новой системой безопасности всегда целесообразно устанавливать максимальные настройки безопасности. Для обеспечения максимальной защищенности нужно быть технически знакомым с оборудованием и его конфигурацией. При выборе брандмауэра стоит отдать предпочтение системе, несложной в конфигурации и предназначенной специально для малого и среднего бизнеса.

Хорошим решением для обеспечения безопасности будет блокировка трафика со всех неизвестных источников, потому как в случае использования UC-системы, вы должны быть абсолютно уверены в полной безопасности. В большинстве случаев, вы должны разрешить только интернет-трафик от вашего SIP-провайдера. Также можно разрешить доступ только на порты, необходимые для работы протокола SIP и только c IP-адресов вашего провайдера.

В некоторых брандмауэрах реализованы достаточно сложные функции, такие как SIP ALG. Хотя SIP ALG и призван обеспечить максимально комфортный и безопасный уровень работы VoIP-устройств, в действительности все не совсем так, при использовании этой функции часто повреждаются SIP-пакеты и нарушается работоспособность всей системы. Так что, прежде чем использовать какие-то новые функции, не забывайте проводить тщательное тестирование совместимости.

Удивительно, но многие малые и средние предприятия не пользуются брандмауэром. Или устанавливают брандмауэр, но все порты остаются открытыми. Хотя некоторые UC-системы, такие как Switchvox, имеют встроенные механизмы предотвращения сетевых атак, они не должны быть единственным средством защиты, так как это не их профильное назначение. Использование каждого устройства по его прямому назначению - гарантия бесперебойной работы. К тому же, не стоит забывать, о использовании VPN.

VPN расшифровывается как виртуальная частная сеть. Многие маршрутизаторы и межсетевые экраны, предназначенные для малых и средних предприятий, поддерживают возможность работы через VPN. Для работы удаленных пользователей, а также при подключении удаленных офисов, самый простой и в то же время безопасный вариант заключается в развертывании VPN-туннелей.

Основные преимущества использования VPN:

В дополнение к VoIP-сервисам, удаленный пользователь имеет доступ ко всем ресурсам вашей сети.

Соединение защищено, риск утечки информации - минимален.

Практически не возникает проблем, характерных для NAT

Для корректной работы VPN нужно открыть всего несколько портов в брандмауэре, а не все. Нет нужды контролировать эти порты: VPN требует аутентификации.

Использование надежных паролей везде, где это возможно, является чрезвычайно эффективной мерой обеспечения безопасности. Имейте в виду, что если вы используете слабые пароли, вы значительно облегчаете работу злоумышленника. После аутентификации с помощью “сломанной” учетной записи SIP, злоумышленник может совершать звонки, как будто они совершаются с помощью вашего телефона, что может привести к значительным денежным расходам.

Все пользователи системы должны также иметь надежные пароли на свои SIP-аккаунты. Switchvox решает эту проблему следующим образом: если вы используете телефоны Digium, то надежные пароли для них генерируются автоматически, что значительно повышает степень надежности системы.

Универсальной мерой обеспечения безопасности, актуальной для любого ПО, является своевременная установка обновлений, повышающих защищенность вашей системы путем исправления и устранения всех найденных ошибок в предыдущей версии программы. Самая последняя версия, как правило, всегда является самой безопасной, поэтому установка обновлений всегда оправдана. Всякий раз, когда вам нужно обновить ваши сервера, вам нужно быть в курсе того, как обновление может повлиять на вашу систему и обязательно сделать резервное копирование системы.

Другой стандартной практикой обеспечения безопасности является отключение неиспользуемых сервисов системы. Это уменьшает вероятность потенциальной атаки. Например, если вы используете голосовые сервисы, видео-связь и электронную почту, но не используют чат, то лучше отключить чат полностью. Это не только повысить безопасность, но это также позволит улучшить производительность, так как у вас будет меньше расход сетевого трафика и ваш сервер будет подвержен меньшим нагрузкам.

Часто атаки остаются незамеченными, пока не причинят слишком большой ущерб. Регулярный мониторинг системных журналов может значительно снизить ущерб, ввиду раннего обнаружения опасности. Некоторые провайдеры предоставляют услуги по информированию клиентов о слишком большом количестве запросов от определенного пользователя, что помогает вам вычислить, что на вашу UC-систему, вероятно, производятся атаки. К сожалению, не все провайдеры предоставляют подобные услуги или предоставляют их на платной основе.

Лучший способ обезопасить вашу UC-систему - это использовать специальное оборудование и VPN. Однако, использование встроенных утилит безопасности может добавить дополнительный уровень защиты. Switchvox, например, поставляется с такими утилитами, как правила управления доступом и автоматическая блокировка IP-адресов. В теории, правильно настроенный брандмауэр должен предотвратить все атаки на ваш сервер, однако использование дополнительных средств безопасности никогда не будет лишним.

Есть совет по обеспечению безопасности UC-систем? Пожалуйста, оставляйте свои советы и замечания в комментариях ниже. Не забывайте, что в конечном итоге безопасность вашей системы лежит на вашей ответственности. В данном блог-посте только список советов, призванный помочь максимально обезопасить вашу систему.