Obrana proti
podvodům
Podvody v telefonních sítích existovaly od jejich vzniku, existují dosud
a vždy existovat budou. Se změnami technologie se mění jen metody podvodů. Na
počátku VoIP telefonie značně stouplo množství podvodů, teprve postupem času se
podařilo poznávat metody podvodníků a budovat obranu proti nim.
Bezpečnost VoIP technologií je naprostou nutností a má využívat kombinace více principů. Životnost špatně zabezpečeného VoIP zařízení je desítky minut až jednotky hodin. Výše potenciální škody je desítky tisíc Kč za jednotky hodin podvodných zahraničních hovorů.
Použitelné metody ochrany se liší podle toho, zda se jedná o privátně nebo veřejně provozovanou VoIP technologii. Pobočková VoIP ústředna a telefony umístěné v lokální síti mohou být dobře skryty před útoky z internetu. Náročnější je ochrana veřejné VoIP ústředny poskytovatele telefonní služby. Principy ochrany provozované VoIP technologie jsou dány konkrétní situací a zkušenostmi IT technika.
Inspirativní seznam různě kombinovatelných možností:
mechanická ochrana
VoIP ústředny (uzamykatelná místnost, telehaus s kontrolou přístupu, ...)
zabezpečená administrace VoIP ústředny (šifrovaným VPN tunelem s bezpečnou
autorizací, ...)
případné umístění VoIP ústředny, telefonů a bran na IP adresách nedostupných z
veřejného internetu
případné umístění VoIP ústředen na nestandardních UDP portech (vzdálených od
portu 5060)
důsledná ochrana IP svazků propojujících VoIP ústředny pomocí IP adresy protější
strany
případná ochrana stabilně umístěných IP telefonů a bran pomocí jejich pevné IP
adresy (kontrolované ve VoIP ústředně)
silná hesla pro registraci IP telefonů a bran (min. 14 číslic a malých i velkých
písmen a dalších znaků)
vložení umělé prodlevy (až 1 sec) do vyhodnocování hesla pomocí MD5 (zpomalení
pokusů o nazkoušet i snížení zátěže ústředny)
kontrola opakování špatných hesel (např. na max. 5) s následným zablokováním SIP
účtu (např. na 15 min nebo do manuálního zásahu správce)
NEkonkrétní reakce na chybně autentizované REGISTER či INVITE (např. 403
Forbidden bez udané příčiny nebo dokonce neregulérní 200 OK)
ochrana VoIP ústředny standardním síťovým firewallem i kombinací speciálního
telefonního SIP firewallu a SIP antifraudu
využívání zabezpečené verze SIP signalizace (TLS, DTLS nebo IPsec) a RTP streamu
(SRTP nebo ZRTP)
užívání kreditního způsobu úhrady hovorného (tzv. prepaidu), kde je finanční
škoda omezena jen výší kreditu
blokování hlasové služby nebo jen odchozích hovorů pro SIP telefony registrované
ze zahraničních IP adres
kontrola NEpříjmu SIP žádostí ze zakázaných IP adres (dle black listu) užívaných
k VoIP podvodům
kontrola NEpřítomnosti zakázaných IP adres (dle black listu nebo white listu) v
položkách SIP signálu (včetně SDP části)
povolení zahraničních hovorů pouze do skutečně potřebných zemí (dle statistiky
reálného provozu)
stanovení limitů počtu současných zahraničních hovorů (dle statistiky reálného
provozu)
sledování počtu souběžných i opakujících se zahraničních hovorů (se shodným či
podobným číslem volajícího a/nebo volaného)
kontrola přijatých SIP žádostí, zda v položkách User-Agent a Server i SDP části
(v atributech "o" a "s") NEobsahují zakázané názvy (dle black listu)
kontrola přijatých SIP žádostí, zda NEobsahují znaky (fingerprints)
charakteristické pro VoIP podvody
NEuvádění jména VoIP technologie v SIP signálech (v položce User-Agent a Server)
ani v jejich SDP části (v atributech "o" a "s")
důsledně zabezpečené nebo raději deaktivace REST či HTTP nebo jiného CTI
rozhraní ve všech VoIP zařízeních i systémech
průběžný monitoring aktuálního objemu hovorů odcházejících do zahraničí
(pracovníky dohledového centra VoIP operátora)
průběžná automatická nebo alespoň manuální zpětná kontrola objemu zahraničních
hovorů (správcem pobočkové ústředny)
uzavření vhodné pojistné smlouvy pokrývající případné finanční škody