Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Приведение конфигурации IP телефонов в соответствие требованиям безопасности

3 3

Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.

Пример требований безопасности к конфигурации IP телефонов:

Смена пароля для учетной записи администратора
Обновление прошивки IP телефонов до крайней стабильной версии
Отключение неиспользуемых/небезопасных портов/протоколов
1. HTTP (порт 80)
2. Telnet (порт 23)
3. VxWorks debugger (порт 17185)
Настройка встроенного межсетевого экрана

Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Инструкция к регулярной задаче

Найти в локальной сети все IP телефоны
Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24
Проверить текущие настройки и версию прошивки.
Если требуется - провести настройку в соответствии с установленными требованиями

Рекомендации к заполнению карточки:

Описать требования к безопасной конфигурации
Добавить в заметки к мере Инструкции по настройке IP телефонов различного типа
Добавить шаблон регулярной задачи по проверке и настройке конфигурации IP телефонов;

Область действия: Вся организация

Классификация

Тип

Техническая

Превентивная

Реализация

Вручную

Периодичность

Ежегодно

Ответственный

Не определено

Инструменты

Не определено

Исполнение требований

CIS Critical Security Controls v7.1 (SANS Top 20):

CSC 5.1 CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.

NIST Cybersecurity Framework (EN):

PR.IP-1 PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)

PR.PT-3 PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities

Связанные риски

Риск	Связи
Несанкционированный доступ к IP телефону из локальной сети из-за наличия технических (программных) уязвимостей в IP телефоне НСД	2
Несанкционированный доступ к IP телефону из локальной сети из-за возможности подбора пароля путем перебора (bruteforce) в IP телефоне НСД	2
Несанкционированный доступ к IP телефону из локальной сети из-за использования протокола Telnet в IP телефоне НСД	2