IT Professional Security - ΤΕΥΧΟΣ 30

More documents

Info

P RACTICAL Οδηγός διασφάλισης VoIP Τηλεφωνικών Κέντρων 25ψήφιους κωδικούς, ακόμα και στις συσκευές. Οι κωδικοί αυτοί παράγονται εύκολα από λογισμικό που λειτουργεί σαν γεννήτρια κωδικών και επικολλούνται εύκολα ακόμα και σε συσκευές μέσω του web interface ή του provisioning (αυτόματη διαδικασία ρυθμίσεως συσκευών κατά την εγκατάσταση). Παραμετροποίηση και ασφάλεια 1. Κωδικοί και επαφές Μετά την εγκατάσταση λοιπόν, έρχεται η παραμετροποίηση του συστήματος η οποία περιλαμβάνει: 1) Την τηλεπικοινωνιακή οργάνωση, η οποία οργανώνει την α- ριθμοδότηση, τους αυτοματισμούς κατά την είσοδο ή έξοδο κλήσεων, τη σειρά προτεραιότητας και άλλα πολλά. 2) Τη ρύθμιση του συστήματος (codecs, ρυθμίσεις) ώστε να λειτουργεί άψογα με τα επιμέρους πρόσθετα υλικά όπως κάρτες και με το προστιθέμενα πακέτα λογισμικού (modules) που θα δώσουν νέες δυνατότητες και ευελιξία στο σύστημα. 3) Τη διασφάλιση του Κέντρου. 4) Τη διασύνδεση με απομακρυσμένα σημεία του δικτύου. Ο λόγος της αναφοράς στη διαδικασία βρίσκεται στο γεγονός πως ακόμα και στη διαδικασία εγκατάστασης, το λογισμικό «ζητάει» κωδικούς για το βασικό διαχειριστή. Είναι πολύ σημαντικό να καταχωρήσουμε κάτι δύσκολο. Κωδικοί τύπου Summer1969 ή 123456, δεν συνιστώνται, καθώς είναι εύκολοι στην ανάκτηση σε περίπτωση επίθεσης. Χρησιμοποιήστε κωδικούς μεγάλους, δύσκολους, οι οποίοι περιλαμβάνουν μικρά κεφαλαία γράμματα, αριθμούς και σύμβολα. Πάντα συνιστώ «Οκ, έβαλα τον κωδικό #@dsFfge$#%&* (er6344W%WET$Y%#^) και τώρα το Κέντρο μου είναι α- σφαλές». Η συγκεκριμένη δήλωση είναι 100% λάθος. Οι ο- ντότητες SIP ή SIP συσκευές, πρέπει πάντα να είναι κλειδωμένες, ώστε ο απλός χρήστης να μην έχει πρόσβαση σε κωδικούς και ρυθμίσεις. Μη ξεχνάτε πως συνήθως η παραβίαση έρχεται τις περισσότερες φορές από το εσωτερικό του δικτύου. Το Τηλεφωνικό Κέντρο δεν διαθέτει μόνο ένα κωδικό. Για παράδειγμα, η διανομή Elastix διαθέτει πολλές υπηρεσίες και μικρότερους διακομιστές και διεπαφές που απαιτούν συνθηματικό. Οι κατασκευαστές έχουν ήδη καταχωρήσει στο Κέντρο κωδικούς, προς διευκόλυνση του διαχειριστή. Αν αυτοί δεν αλλαχθούν, προσφέρουν πολύ εύκολη πρόσβαση στη διαχείριση. Μία καλή πηγή για την εν λόγω διανομή είναι ο οδηγός «Elastix without tears» ,ο οποίος θα μπορέσει να σας βοηθήσει στα πρώτα σας βήματα. In προεπιλεγμένοι κωδικοί διανομής Elastix Elastix admin palosanto freePBX admin admin FOP admin eLaStIx.2oo7 Calling Cards (A2Billing) admin mypassword MySQL mysql –p (from root) eLaStIx.2oo7 SugarCRM admin password vTiger admin admin Openfire admin Whatever set at install 2.Υπηρεσίες και «δαίμονες» Ένα μέτρο προστασίας που επίσης συστήνουμε ανεπιφύλακτα, είναι η καθολική απενεργοποίηση όποιας υπηρεσίας δεν χρησιμοποιείται. Το Τηλεφωνικό Κέντρο δεν πρέπει να χρησιμοποιείται σαν Κέντρο/exchange/ftp/apache/web server/dlna/… Όσο και αν η υπολογιστική ισχύς του Κέντρου το επιτρέπει, μη «φορτώνετε» το λογισμικό με νέους διακομιστές, «όμορφες ή βολικές» διεπαφές, γιατί έτσι αυξάνετε το ρίσκο παρουσίασης 46 | security
νέων κινδύνων στην ασφάλεια του συστήματος. Αν μπορείτε, αποφύγετε τελείως το γραφικό περιβάλλον παντού και πάντα και εκτελέστε τη διαδικασία παραμετροποίησης μέσω κονσόλας. Τέλος, μπορείτε να δημιουργήσετε «κλειδιά» τα οποία να χρησιμοποιείτε για περιπτώσεις απομακρυσμένης πρόσβασης στο Κέντρο. Έτσι δεν θα υπάρχει όνομα και κωδικός να κλαπούν σε περίπτωση επίθεσης. Περισσότερες πληροφορίες για τον τρόπο που αλλάζονται οι κωδικοί καθώς και την τοποθεσία τους, υπάρχουν μέσα στους οδηγούς που διατίθενται μαζί με τις αντίστοιχες διανομές. 3.Τοπικό δίκτυο Στο επίπεδο τοπικού δικτύου αφιερώστε ένα ολόκληρο subnet για αποκλειστική χρήση φωνής. Δεν συνιστάται να μπλέκονται δίκτυα, τόσο για θέματα ασφαλείας όσο και για θέματα ποιότητας υπηρεσίας και επίλυσης προβλημάτων. Η επιλογή αριθμοδότησης είναι προσωπική επιλογή. Σας παροτρύνουμε να μη χρησιμοποιήσετε κάτι κλασικό σαν το 192.168.0.x. Προτιμήστε τη ρύθμιση δικτύου σας στο 172.16.χ.χ και να έχετε υπόψη σας πως αυτό το subnet δεν πρέπει να επικαλύπτει (overlap) αυτό του VPN. Με άλλα λόγια, το δίκτυο είναι επιθυμητό να έχει α- συνήθιστη αριθμοδότηση, αρκεί να είναι απλό το συνολικό α- ποτέλεσμα για το διαχειριστή. Διασφαλίζοντας λοιπόν τους κωδικούς, τις ρυθμίσεις, τις ενημερώσεις και το δίκτυο, έχουμε ήδη χτίσει τη βάση στο φυσικό τοπικό δίκτυο. Συνεχίζοντας τη διαδικασία, άμεσος στόχος είναι να περιορίσουμε την πρόσβαση στο Κέντρο από τον έ- ξω κόσμο. Αν ήδη έχετε πειραματιστεί με Asterisk και πολύ περισσότερο με Elastix ή παρόμοια διανομή, θα γνωρίζετε πως το τείχος προστασίας στην αρχή δεν είναι ενεργοποιημένο. Δεν το ενεργοποιούμε όμως πριν την ολοκλήρωση των ρυθμίσεων. Αυτό θα γίνει όταν είμαστε έτοιμοι και σίγουροι πως το Κέντρο δεν θα μας «κλειδώσει απ’ έξω» και πως όλοι οι κανόνες είναι σωστά φτιαγμένοι. Σε αυτό το σημείο δουλεύουμε πάντα σε τοπικό επίπεδο και φροντίζουμε να έχουμε φυσική πρόσβαση στο Κέντρο. Επιτρεπόμενη πρόσβαση Η πρόσβαση στο Κέντρο, στην κονσόλα ή τη διεπαφή ρυθμίσεων μέσω web, μπορεί να ρυθμιστεί και να επιτρέπει πρόσβαση από συγκεκριμένη στατική IP ή ακόμα καλύτερα από το εσωτερικό δίκτυο LAN και μόνο από εκεί. Συνιστάται να «κόβουμε» την πρόσβαση από τον έξω κόσμο. Το Κέντρο μπορεί έτσι να παραμετροποιείται μόνο από το LAN ή και από VPN σύνδεση (που δρομολογείται στο LAN). Ανάλογα πάντα με τη διανομή, βρίσκετε το αρχείο στο οποίο είναι γραμμένος ο κανόνας για το ποια δίκτυα επιτρέπονται να έχουν πρόσβαση και ποια όχι. Σαν παράδειγμα, ψάχνετε μέσα στο αρχείο sip.conf για κάτι σαν το παρακάτω κείμενο: deny=0.0.0.0/0.0.0.0 permit=xxx.xxx.xxx.xxx/255.255.255.255 το οποίο σημαίνει ΄΄απαγορεύεται η πρόσβαση σε όλα τα δίκτυα εκτός από την IP xxx.xxx.xxx.xxx΄΄. Το συγκεκριμένο παράδειγμα χρησιμοποιείται και σε άλλες παραμέτρους του Κέντρου. Είναι πολύ σημαντικό να διαβάζετε τα σχόλια μέσα στα αρχεία που τροποποιείτε, καθώς φέρουν πληροφορίες μέσω σχολίων, για το τι είναι αυτό που αλλάζετε και δίνουν συχνά παραδείγματα. Με αντίστοιχους κανόνες μπορείτε να ρυθμίσετε από ποια IP μπορεί να γίνεται registration συσκευής και να ρυθμίζονται οι επιτρεπόμενες IPs για τη διασύνδεση των trunks. Για παράδειγμα: [provider-of-VoIP-service] type=peer context=provider-input permit=A.B.C.D/255.255.255.0 (
Page 1: Μάρτιος - Απρίλιος 2
Page 5 and 6: McAfee Security Information and Eve
Page 8 and 9: NEWS Η ESET κυκλοφόρησε
Page 10 and 11: NEWS Οι νέες λύσεις Clo
Page 12 and 13: NEWS Πραγματοποιήθηκ
Page 14 and 15: REFERENCE Του Χρήστου Σ
Page 16 and 17: C OVER ISSUE Του Νότη Ηλι
Page 18 and 19: COVER ISSUE Ασφάλεια στο
Page 20 and 21: COVER ISSUE Ασφάλεια στο
Page 22 and 23: REPORT 3ο Infocom Security Ο κο
Page 28 and 29: I SSUE Της Παναγιώτας
Page 30 and 31: I SSUE Mobile Device Management Η
Page 32 and 33: I SSUE Της Παναγιώτας
Page 34 and 35: I SSUE Αναδυόμενες τε
Page 36 and 37: I SSUE Αναδυόμενες τε
Page 38 and 39: P RACTICAL Σύστημα Εντο
Page 40 and 41: P RACTICAL Σύστημα Εντο
Page 42 and 43: P RACTICAL Ethical Hacking και
Page 44 and 45: P RACTICAL Ethical Hacking και
Page 46 and 47: P RACTICAL Αλέξανδρος Σ
Page 50: Διμηνιαίο περιοδικ

IT Professional Security - ΤΕΥΧΟΣ 30

Create successful ePaper yourself

Delete template?

Save as template?