Если у вас VoIP без SBC — возможно, кто-то позвонит за ваш счет на $10 000
Расскажу историю от коллег-киберкриминалистов, которые и расследовали дело. Обычно взламывают IP-телефонию с двумя целями: чтобы прослушивать телефонные разговоры, если нужна, например, закрытая коммерческая информация. И атака ради заработка. Коллеги столкнулись со вторым случаем.
Дело было так — провайдер одной крупной промышленной компании заметил резкий всплеск подозрительной активности. В выходные кто-то массово начал звонить с корпоративных номеров за рубеж на платные номера. Звонков было очень много и они были очень дорогие.
Вот что произошло: злоумышленники взломали корпоративную АТС, подобрав логины и пароли к SIP-аккаунтам. Атаку организовали грамотно: звонить с корпоративных номеров начали в выходные, когда активность сотрудников минимальна, а технические специалисты отсутствуют. Все звонки шли с разных корпоративных номеров, чтобы избежать раннего выявления. А шли вызовы на платные номера, которые арендовали сами мошенники. Времени заработать у взломщиков оказалось достаточно.
Оказалось, что компания не использовала никаких антифрод-механизмов — ни мониторинга трафика, ни автоматического отключения в случае аномальной активности, системы ни контроля за исходящими звонками в нерабочее время. Не соблюдали даже базовой безопасности — например, пароли не меняли с момента внедрения системы.
Есть еще одни способ защитить корпоративную IP-телефонию от взлома — использовать пограничный контроллер сессии (Session Border Controller, SBC).
SBC особенно востребован в проектах уровня 122-ФЗ, в энергетике, промышленности, транспортной и логистической отраслях. Есть высокий риск внешнего вмешательства, наличие отдельного контроллера сессий уже стандарт.
Как работает SBC
SBC, или Session Border Controller — это специализированное устройство, выступающее «пограничником» между корпоративной телефонной сетью и интернетом. В отличие от обычного файрвола, SBC не просто фильтрует трафик, а полностью анализирует и переписывает SIP-пакеты и блокирует атаки на VoIP-инфраструктуру.
Как работают SBC-решения:
- Fail2Ban защищает от подбора паролей, brute-force. Система автоматически блокирует попытки массового перебора учетных данных.
- IP-фильтрация — ограничение доступа по IP-адресам, запрещает подозрительные подключения.
- Мониторинг аномальной активности — система отслеживает нетипичные паттерны использования, например, внезапное увеличение количества международных вызовов. Например, если идёт больше чем три одновременных звонка на международные номера — АТС автоматически отключается.
Также можно подключить двухфакторную аутентификацию для доступа к панели администратора.
Если бы компания из нашего примера использовала SBC и его взломали, осталась бы защита на уровне АТС — Fail2Ban и IP-фильтры. Система обнаружила бы подозрительную активность, отправила уведомление администраторам и, не получив подтверждения в течение 10 минут, автоматически заблокировала АТС до выяснения, что вообще происходит.
Как это работает. Обычный SIP-прокси просто передает трафик, а SBC "вскрывает" пакеты, меняет заголовки и защищает от подмены.
Абонент поднимает трубку:
- Телефон отправляет INVITE (сигнал установки SIP-сессии).
- SBC анализирует этот запрос: проверяет логин/пароль, IP-адрес, легитимность вызова. Если что-то подозрительно — например, брутфорс или звонки на международные номера, SBC блокирует атаку.
В зависимости от задач клиента SBC может быть реализован в двух вариантах.
Программное решение (например, на базе Kamailio) — используется как SIP-прокси-сервер, легко разворачивается в виртуальной среде, интегрируется с Asterisk и подходит для большинства бизнес-сценариев. Особенно актуален в условиях импортозамещения: он не требует покупки оборудования, проще масштабируется и поддерживает гибкую настройку. При этом по уровню защиты он сопоставим с «железными» аналогами.
Программные SBC интегрируются непосредственно в телефонную инфраструктуру и не требуют установки дополнительного оборудования. Они базируются на открытых стандартах, таких как Kamalio. Такие решения обычно более гибкие и экономичные, но требуют виртуальной машины. Программный SBC предлагается как модуль и может быть включен в состав цифровых решений — например, нашей платформы «Сфера». Это снижает барьер входа по сравнению с аппаратными решениями.
Аппаратное решение (например, Eltex SNG-3016) — используется при строгих регламентных или инфраструктурных ограничениях, а также по требованию заказчика. Представляют собой отдельные устройства, физически разделяющие внутреннюю сеть и интернет. Сложность в их пусконаладке. Важно понимать, что настройка SBC, особенно аппаратного, требует специфических знаний и опыта. Многие организации предпочитают выбирать поставщиков, предлагающих не только само решение, но и полное сопровождение его внедрения и эксплуатации.
Есть вопросы — пишите в телеграм