Компания TrueConf предоставляет полный набор разнообразного ПО для организации корпоративных коммуникаций, в том числе и ядро для развёртывания такой системы – TrueConf Server. Но как и любой другой ресурс, сервер видеосвязи может подвергаться различным атакам и попыткам получить к нему несанкционированный доступ с целью нарушить его стабильную работу или внести злонамеренные изменения в настройки. Например, могут быть попытки развернуть DDoS-атаку или получить доступ к его панели управления для скачивания видеозаписей конференций. Ниже мы приведём ряд рекомендаций по защите от таких воздействий.
Содержание
Ограничьте доступ к панели управления
После установки TrueConf Server предоставляет доступ к его администрированию через панель управления. Она доступна по кнопке Вход для администратора на гостевой странице сервера. Отображение данной кнопки ограничивается пулом IP-адресов, которые указаны в разделе Веб → Безопасность, по умолчанию это все локальные адреса из диапазонов 10.*
, 192.168.*
, 172.16-172.31
, 127.*
.
Проверьте, что в этом списке нет внешних IP-адресов, особенно если вы настроили проброс портов. Если такие адреса есть, убедитесь, что они вам известны и вы уверены в надёжности таких хостов.
Для авторизации в качестве администратора учётная запись должна быть добавлена в одну из групп на ОС с установленным сервером в зависимости от требуемого уровня доступа:
- TrueConf Server Admin на Windows (tcadmins на ОС семейства Linux) – для полного доступа к управлению настройками;
- TrueConf Server Security Admin на Windows (tcsecadmins на ОС семейства Linux) – для просмотра журналов событий и записей видеоконференций.
Убедитесь в надёжности паролей всех таких пользователей. Также рекомендуем хранить учётные записи в службах каталогов LDAP/Active Directory, что дополнительно повысит уровень безопасности. О настройке доступа к панели управления мы подробно рассказали в документации TrueConf Server.
Настройте HTTPS
HTTPS – защищённый благодаря использованию SSL/TLS-сертификата протокол передачи данных в компьютерных сетях. По умолчанию для этого используется порт 443
.
В TrueConf Server передача медиаданных происходит по протоколу TrueConf по порту 4307
, потому HTTPS не является необходимым для организации видеосвязи. Но он используется для работы с инструментом расширенного управления конференцией, планировщиком и организации подключения к мероприятиям через браузер (по WebRTC). Подробнее о необходимых для работы TrueConf Server портах читайте в соответствующей статье.
Даже если вы не пользуетесь перечисленными выше возможностями, всё равно рекомендуем настроить HTTPS. Тогда во время работы с генерируемыми сервером веб-страницами (гостевая страница, страницы конференций) он обеспечит шифрование всех передаваемых данных, в том числе авторизационных. В этом случае их будет невозможно перехватить и получить несанкционированный доступ к вашим конференциям или панели управления.
Используйте DMZ
DMZ (Demilitarized Zone, демилитаризованная зона, ДМЗ) – физический или логический сегмент корпоративной сети, содержащий общедоступные сервисы и отделяющий их от сегментов внутренней сети. В DMZ обычно размещаются сервисы, которые должны быть доступны для пользователей из сети Интернет, например, почтовый сервер и веб-сервер сайта. В свою очередь, внутренние службы обращаются только к DMZ и не имеют прямой связи с внешним миром, что повышает их отказоустойчивость: при атаке из Интернета стабильность их работы не пострадает.
Размещение TrueConf Server в DMZ оградит ваши внутренние службы (AD/LDAP, DNS-серверы и т.п.) от воздействия атак извне. А чтобы разделить видеосвязь для внешних участников и корпоративных пользователей, можно использовать два TrueConf Server с настроенной федерацией: один в DMZ для подключения гостей и второй – во внутреннем сегменте для подключения авторизованных на сервере пользователей.
Обратите внимание, что мы предлагаем максимально отказоустойчивое решение TrueConf Enterprise с разделением серверов по ролям и обеспечением их резервирования и балансировки нагрузки.
Закройте неиспользуемые порты
TrueConf Server использует определённые порты для подключения по различным протоколам. Остальные порты, которые не требуются для нужд сервера видеосвязи, рекомендуем закрыть на уровне оборудования и брандмауэра в ОС.
Например, вы используете видеосвязь, настроили HTTPS и рассылку email-приглашений, используя внешний почтовый сервис. Тогда в соответствии с нашей статьёй вам требуется оставить только порты 4307, 443, 465, а остальные можно закрыть.
Поменяйте стандартные используемые порты
Как было показано выше, для работы TrueConf Server как для протокола TrueConf, так и для сторонних служб требуются определённые порты. Многие из них можно поменять, например, чтобы задать новый порт для передачи аудио- и видеопотоков, перейдите в раздел Сеть → Настройки сети панели управления, а для изменения HTTPS-порта – в раздел Веб → HTTPS.
В случае DDoS-атаки воспользуйтесь нашим специальным предложением
Если проводится масштабная DDoS-атака, направленная на различные порты и уровни организации сети (OSI), то указанных выше рекомендаций может быть не достаточно.
Специально для таких случаев компания TrueConf предлагает собственную услугу защиты от массированных DDoS-атак. Тем самым вы получите наивысшее качество в сочетании с быстрым реагированием, т.к. мы глубоко понимаем работу видеосвязи и знаем, что и каким образом требуется оградить от злоумышленников. От вас не потребуется никаких действий кроме обновления конфигурации DNS – всё остальное настроят наши специалисты!
Если у вас остались вопросы или вам требуется совет от наших специалистов – обращайтесь в техническую поддержку TrueConf, мы всегда рады помочь вам!