články k problematice voip | telefonní ústředny

• Pokud konfigurujete a vytváříte VoIP účty, opět používejte silná hesla. Útočníci mají k dispozici speciální programy, které jim pomáhají hledat hesla k VoIP účtům. Po získaní VoIP jména a hesla může útočník přihlásit k Vaši ústředně vlastní VoIP zařízení a využívat Vaši ústřednu k volání.
• Snížit riziko přihlášení cizího zařízení můžete i pomocí vyplnění IP adresy ve vlastnostech SIP kanálu. Lze to však jen za předpokladu, že Vaše VoIP zařízení má pevnou IP adresu. Ustředna pak nebude akceptovat přihlášení VoIP zařízení s ukradenou identitou z jiné než Vámi zadané IP adresy.

Zabezpečení ústředny pomocí firewallu

•  Pokud máte ústřednu připojenou přímo do internetu pomocí veřejné IP adresy, pak doporučujeme nakonfigurovat firewall tak, že zakážete všechny TCP/UDP porty. Pak stačí povolovat potřebné porty. Příklad: v ústředně máte nakonfigurován SIP trunk k VoIP operátorovi. VoIP operátor má svoji ústřednu na IP 100.200.100.200. Na Vaši ústředně si povolíte UDP porty od operátora s IP 100.200.100.200. Rozsah UDP portů záleží na konkrétních nastaveních. V případě SIP protokolu to bude minimálně signalizační port UDP/5060 a určitý rozsah UDP portů pro přenos hlasu přes protokol RTP, RTCP. Pokud se na Vaši ústřednu připojují telefony z různých veřejných IP adres, vytvořte pravidla pro každou z nich. Dále si povolte servisní přístup na ústřednu jen z Vámi známých IP adres. Tím zablokujete možnost přihlášení se na ústřednu z cizích IP adres. Určitě nezaškodí zapnout blokování ICMP zpráv (ping). Ústředna se tím stane neviditelnou pro většinu skenerů, které zjišťují zda na IP adrese žije nějaké zařízení.
•  Pokud provozujete ve firmě OpenVPN server, může se ústředna přihlásit na server a získat od něj interní IP adresu. Na tento server se pak mohou přihlásit i vzdálené pobočky pomocí routerů a VoIP telefony pak můžou komunikovat s ústřednou bezpečně přes šifrovaný VPN tunel.