По какой схеме реализовать надежную IP-телефонию в сети?

Обсуждение оборудования и его настройки
Ответить
hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Здравствуйте, уважаемые форумчане!
Дано:
Микротик в роли основного маршрутизатора с несколькими белыми ip адресами, через который работает всё.
Только что поставленная система IP Телефонии CentOS7/Asterisk/Elastix (системник с 3-мя eth интерфейсами).

Задача: Нужно один IP телефон установить в удаленном участке, через туннель VPN (пример: L2TP/IPSec).
И установить один софтфон в сети 10.10.10.0/24

Вот тут уже голову ломаю, никак не могу решить как правильно реализовать это с соблюдением безопасности.
Чтобы никто не имел возможность к подключению, не могли прослушивать и чтобы счета за непонятные звонки не пришлось оплачивать.
По какой схеме решить задачу, может еще что нибудь добавить в сетку, как организовать надежный vpn? Подскажите пожалуйста!

Как бы я решил задачу:
Поднял бы впн l2tp/ipsec между микротами, организовал бы маршруты в обе стороны. и максимально ограничил бы доступ к управлению, что оставил бы только прохождение звонка, даже для локальной сети.
связь с SMG только с Elastix и также установка сложных логинов и паролей.
Кажется, что данный подход не самый надежный. И возможно, о чем то я не ведаю, т.к. первый раз столкнулся с IP телефонией.
Схема:
Изображение
Последний раз редактировалось hitman 19 ноя 2017, 13:21, всего редактировалось 1 раз.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Что такое "с соблюдением необходимой безопасности"?
Политика ИБ у всех разная.

Если вы в России, то совсем "всех" не получится, потому, что микротик не сертифицирован в РФ как МЭ и СКЗИ.

Если не в России, или не нужно "совсем всех", а достаточно того, что умеет микротик, то:
- зашифровать VPN (выбрав между IPSEC и OpenVPN)
- раздать удаленным телефонам статические адреса.
- На Firewall микротика разрешить доступ из впн к астериску только этим адресам. Подсети астериска запретить любое взаимодействие с интернетом. Обновления будете на флешке носить, или сеансово включать разрешающее правило.
- На астериске в настройке IP стека CentOS7 не указывать дефолт гейтвей, а прописать статические маршруты до всех сетей, из которых будут использоваться телефоны.
- Приветствуется так же выделение телефонии в отдельный VLAN на оборудовании.


hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Erik_U писал(а):- зашифровать VPN (выбрав между IPSEC и OpenVPN)

а есть между ними разница в надежности и достаточно ли такого шифрования?
- раздать удаленным телефонам статические адреса.
- На Firewall микротика разрешить доступ из впн к астериску только этим адресам. Подсети астериска запретить любое взаимодействие с интернетом. Обновления будете на флешке носить, или сеансово включать разрешающее правило.
- На астериске в настройке IP стека CentOS7 не указывать дефолт гейтвей, а прописать статические маршруты до всех сетей, из которых будут использоваться телефоны.

Нравиться Ваше предложение, как думаете, этого будет достаточно для ограждения от возможных последствий?
- Приветствуется так же выделение телефонии в отдельный VLAN на оборудовании.

Извиняюсь,можете более развернуто объяснить этот момент?
Спасибо, за совет!
подкорректировал свой вопрос и схему, возможно теперь более понятно выражаю задачу).


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

1. Есть. Не достаточно.
2. Думаю, не достаточно.
3. Если выделить телефонию в отдельный VLAN, то даже наличия маршрутов будет не достаточно, чтобы добраться до сервера. Необходимо будет находиться в правильном VLAN. Но этого не достаточно.


hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Erik_U писал(а):1. Есть. Не достаточно.
2. Думаю, не достаточно.
3. Если выделить телефонию в отдельный VLAN, то даже наличия маршрутов будет не достаточно, чтобы добраться до сервера. Необходимо будет находиться в правильном VLAN. Но этого не достаточно.

Что не сделаю, все равно будет не достаточно:)
Поделитесь пожалуйста, как бы Вы решили данную задачу, если бы Вам нужно было ее решить?
Например:
Поднимаю туннель l2tp/ipsec на микроте1- local address -192.168.12.1 и remote address 192.168.12.2
подключаю микрот2 к нему и настраиваю политику так, что через него работает телефония и на него (input) доступ только портам для l2tp.
так же настраиваю маршрут до атс 10.20.10.1/32 через шлюз 192.168.12.1
и на микроте1 прописываю маршрут до <ip телефона> через 192.168.12.2
и создаю правило "filter rule" запрещающий forward отовсюду в туннель и в сторону АТС,
а так же разрешающее правило "исключение" forward между АТС и телефоном, так же себе для администрирования.
Что это мне даст, Ваше мнение.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Задача всегда распадается на 2 составляющие.
1. работоспособность.
2. безопасность.

С первой задачей все понятно. И чем больше наворотов подбрасывает вторая задача, тем забавнее решать первую.

Со второй сложнее.
Любая защита, как и нападение - ресурсоемкий процесс. И его ресурсоемкость зависит от во-первых законодательных требований, а во-вторых, от стоимости того, что вы защищаете.
Поясню на примере.
Если вы в Российской Федерации, и по своей телефонии собираетесь вести переговоры, содержащие персональные данные граждан, то вы должны их защищать в соответствии с требованиями законодательства, а первое из требований - использование сертифицированных средств защиты. И микротик тут уже не подходит. Если вы попадаете под эти требования, то к вам может однажды нагрянуть проверка, и тогда чьи-то заявления на форуме о том, что "даващедостаточнокудаужбольше" вдруг превратятся в вашу халатность (если вы - ответственный за ИБ в организации).

В любом случае, вы должны понимать, что гостайну и конфиденциальную информацию защищают сильно по разному, однако гостайну все равно иногда воруют. Это значит, что тот уровень защиты, который применяется для конфиденциалки ЗАВЕДОМО взламываемый. Но не означает, что его не нужно применять. Его применение должно сделать взлом сопоставимым или большим по затратам стоимости возможной выгоды от мероприятия. Это также (если вы под законодательными требованиями) снимет с вас вину (обвинения в халатности) за причинение ущерба (если все необходимые требования выполнены).

Если под законодательные требования вы не попадаете, и защищаете свои деньги, то все равно, смотрите инструкции, подготовленные компетентными органами. Они правильные, и думаете, что вам по карману применить, а что - нет. С разницей, что вам доступно для использования намного больше возможностей, не имеющих сертификатов в России.

Тут нужно обязательно пройти 3 шага.
1 - определить, что именно нуждается в защите (что защищаем).
2 - определить модель угроз (от чего защищаем)
3 - определить модель нарушителя (методы реализации атак из п.2)

С точки зрения телефонии (на мой взгляд), ущерб можно получить от перехвата переговоров, незаконной записи переговоров, и от несанкционированного использования инфраструктуры связи.
Если нужно защищать содержимое переговоров - защищаем каналы (шифрация). Про стойкость алгоритмов читайте литературу, и выбирайте сами. Если возможен перехват до каналов - защищаем аппараты, или помещения, в которых проходят переговоры. Т.е. нужно понимать, от перехвата ГДЕ мы защищаем. Только в интернете, или в каждом сантиметре кабеля, идущего из телефона.
Запись переговоров - очень важная и ответственная часть. Вести такую запись нужно очень аккуратно, иначе можно попасть даже под судебные разборки с собственными сотрудниками (однажды уволенными, или просто чем-то недовольными).
Но важно уметь детектировать запись на другой стороне. И это по большей части не техническое мероприятие. Это - инструкция.
Важно иметь запись юридически значимых переговоров, сделанную без нарушения законодательства (как, например, запись разговоров сотрудников технических служб).
Несанкционированное использование - это как внешние злоумышленники, которые получив доступ к системе продадут населению карточки с необоснованно заниженной стоимостью междугородних переговоров, а вы потом их оплатите по обоснованно высокой цене, так и ваши же сотрудники, которые могут накупить микротиков, и устроить себе и своим родным доступ к "бесплатной телефонии" из дома. Больше всего могут доставить проблем сотрудники, вообще не помышляющие о телефонии. Которые ради удобства пользования личным айпадом в сети предприятия, за свои деньги покумают WiFi точку, подключают ее в сеть, защищают паролем 123, и не выключают на ночь. Потом через нее из припаркованного автомобиля или соседнего здания ломают астериск, и наговаривают вам пару десятков миллионов рублей с Тунисом за одни выходные.

Поэтому.
Кроме микротиков, нарисованных на вашей схеме и их возможностей, категорически необходимо:
1. Строгие инструкции (организационные меры), предусматривающие личную финансовую ответственность нарушителя за возможный причененный ущерб. И доведение их под расписку.
2. Биллинговая система на сервере телефонии, с обязательными лимитами. Что позволит даже при возможном взломе и несанкционированном использовании ограничить ущерб указанным лимитом.
3. Отключение где только возможно доступа в междугороднюю и международную сети, запароливание этих доступов. Переход на безлимитные тарифы. Либо наоборот, включение лимитов минут в день у оператора (на организацию в целом). Распределенную защиту ломать намного сложнее.
4. Мониторинг безопасности. Постоянный. Без этого построение любой системы бессмысленно. Оно только ненадолго отсрочит неизбежный результат.

Но этого опять таки не достаточно.
Достаточно будет, когда вы сами решите, что вам достаточно. С личной ответственностью за это решение.

Примерно так. На схеме у вас процентов 5 возможных источников проблем. :)


hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Erik_U писал(а):Примерно так. На схеме у вас процентов 5 возможных источников проблем. :)

Большое спасибо, за столь подробное разъяснение..есть моменты, о которых я действительно не думал.
В общем схема у меня получается не плохая, да, если мне остается защищаться от внешних угроз)


Ответить