Почему от АТС 3CX поступают частые системные сообщения о блокировке ip-адресов, и что делать в такой ситуации

Статья находится на этапе редактирования. В скором времени она будет опубликована. Ниже приведена старая версия статьи.

Любая ip-АТС, подключение к которой возможно через интернет (соответственно у такой АТС необходимые для этого порты “смотрят” наружу), рано или поздно испытывает на себе попытки несанкционированного вторжения.

В сети постоянно действуют сканеры портов, которые ищут открытые порты, отвечающие на SIP-запросы. Как только порт обнаруживается, скан-бот начинает перебирать пароли с огромной скоростью и, в случае, когда у ip-АТС отсутствует какая-либо защита от подбора паролей, пароль рано или поздно будет подобран. Дальнейшее развитие событий зависит от того, на какие направления разрешено звонить взломанному внутреннему номеру. Если открыты платные (особенно международные) направления, то злоумышленник начинает “сливать трафик” с целью совершить как можно больше платных звонков. Есть случаи, когда за одну ночь сливают телефонного трафика на десятки и сотни тысяч рублей.

Еще хуже будут обстоять дела, если злоумышленник сможет подобрать пароль от веб-панели администрирования 3CX. В этом случае у взломщика будет неограниченный доступ ко всем sip-транкам, имеющимся на вашей АТС, и он сможет звонить через них без каких-либо ограничений.

Мы описали негативные сценарии, чтоб было понимание, насколько важна грамотная реализация защиты АТС от взлома. И АТС 3CX предоставляет пользователю все необходимые инструменты для эффективной реализации такой защиты. Не зря по оценке экспертов 3CX самая безопасная АТС на рынке. Эксперты лаборатории SSL Lab присвоили ей рейтинг A+.

В основе многоуровневой защиты 3CX стоит система антихакинга, которая блокирует ip-адрес злоумышленника, если от него с определенной частотой приходит определенное количество неудачных авторизаций. Почтовые уведомления о том, что система заблокировала ip-адрес, как раз и свидетельствуют о срабатывании защиты.

Если случилось так, что внешний адрес вашей АТС оказался в поле зрения взломщиков, у вас есть несколько способов повысить степень защиты и быть уверенным в неприступности своей АТС при любых атаках:

1. Используйте сложные пароли. 3CX изначально настроена на длинные пароли с верхним и нижним регистром, и мы настоятельно рекомендуем следовать таким установкам, не переходить на простые пароли.
2. Увеличьте период нахождения ip-адреса злоумышленника в заблокированном состоянии. Советуем увеличить этот параметр сразу же после установки АТС. Для этого в веб-панели администрирования зайдите в раздел Параметры, плитка Безопасность, вкладка Антихакинг. Измените значение “Период блокировки” в 10-100 раз.
3. Во время установки АТС 3CX укажите нестандартный SIP-порт. Дело в том, что прежде всего злоумышленники ищут открытые порты 5060 (это стандартный SIP-порт), и установка нестандартного значения SIP-порта в разы снижает количество попыток взлома. Если АТС 3CX уже установлена, то смена SIP-порта (как и любого другого системного порта) возможна только через переинсталляцию: сделайте бэкап текущих настроек, деинсталлируйте 3CX, заново запустите инсталлятор, укажите новые порты и укажите, что остальные настройки берутся из бэкапа.
4. Используйте нестандартный https-порт. При инсталляции 3CX предлагает свой нестандартный порт 5001. Согласитесь, с ним или выберете другой, отличный от 443.
5. Кардинальным способом, позволяющим избавиться от попыток взлома, является настройка “белого” списка ip-адресов. Запросы с остальных ip-адресов будут попросту игнорироваться. В состав белого списка вам потребуется включить адреса всех ваших провайдеров и удаленных локаций, откуда планируете подключаться к АТС 3CX. Белый список настраивается в разделе “Доступ с IP адресов”. Чтобы туда попасть на главной странице панели администрирования нажмите на кнопку “IP адреса в черном списке”.

В общем случае, рекомендуем выбирать первые 4 способа, а последний применять только в особых случаях, когда вы понимаете возможные негативные моменты, связанные с ним. А именно, АТС 3CX не примет SIP-регистрацию с неизвестного адреса, что исключит использование мобильных клиентов из 3G/4G сетей, не позволит вашим сотрудникам подключаться к АТС, когда они находятся в командировке или в отпуске, или просто на выезде.

Использование первых 4-х рекомендаций сводит вероятность взлома вашей АТС фактически к нулю. Единственным слабым местом остается то, как и где вы храните пароли доступа к АТС. Надо понимать, если злоумышленник сможет получить доступ к месту хранения ваших паролей, то единственным способом избежать несанкционированного подключения, является 5-ый метод, ограничивающий доступ к АТС по ip-адресу.