近來,各種針對VoIP語音網(wǎng)關(guān)設(shè)備的攻擊頻繁出現(xiàn)�����,給客戶帶來不少困擾和經(jīng)濟損失�。
為進一步防止VOIP語音網(wǎng)關(guān)遭受網(wǎng)絡(luò)攻擊或攻擊后出現(xiàn)電話被盜打情況的發(fā)生,針對語音網(wǎng)關(guān)設(shè)備安全防范提出幾點防范措施��,請客戶按照措施對語音網(wǎng)關(guān)設(shè)備做好安全防范工作。
1.1 登陸密碼管理
加強對設(shè)備登陸密碼維護和管理��,設(shè)備調(diào)試完成后及時更改設(shè)備登陸密碼�,,不讓無關(guān)人員隨意進入設(shè)備修改數(shù)據(jù)����。在配置用戶密碼時建議客戶把密碼配置的比較復(fù)雜,如包括數(shù)字�、大小寫字母和特殊字符串。
1.2 防火墻設(shè)置
為了增強IP PBX的網(wǎng)絡(luò)安全�����,建議客戶開啟防火墻功能�����。關(guān)閉設(shè)備遠程管理功能�����、開啟設(shè)備禁ping功能;把和設(shè)備有業(yè)務(wù)聯(lián)系的IP地址加入到防火墻白名單內(nèi)����。
1.3 用戶權(quán)限控制
為了防止用戶被黑客攻擊后盜打電話情況的發(fā)生�,客戶在使用配置用戶分機權(quán)限的時候盡量根據(jù)實際情況配置�����。如用戶電話只有市話業(yè)務(wù)�����,可以給該分機設(shè)置市話權(quán)限;如用戶電話只有國內(nèi)長途業(yè)務(wù)���,可以給該分機設(shè)置國內(nèi)長途權(quán)限。
1.4 分機單次通話時長控制
建議客戶在配置分機的時候根據(jù)個人的業(yè)務(wù)情況對該分機的單次通話時長參數(shù)進行設(shè)置����,降低盜打產(chǎn)生巨額花費的風險。
1.5 系統(tǒng)全局通話時長控制
建議客戶在配置數(shù)據(jù)的時候根據(jù)公司的電話業(yè)務(wù)情況對系統(tǒng)的通話時長參數(shù)進行設(shè)置���,降低盜打產(chǎn)生巨額話費的風險�����。
1.6 SIP協(xié)議端口設(shè)置
建議IP PBX設(shè)備不要放到互聯(lián)網(wǎng)上�,如果設(shè)備必須置于互聯(lián)網(wǎng)上��,建議修改設(shè)備SIP協(xié)議端口(默認為5060),盡可能降低設(shè)備被掃描定位的幾率��。
1.7 SIP用戶設(shè)置
PBX上如果沒有SIP用戶需求��,請不要添加SIP用戶��,如果必須配置SIP用戶��,必須對SIP用戶賬戶進行安全性設(shè)置����。要求分機號碼和注冊賬戶設(shè)置不一樣;對分機權(quán)限進行設(shè)置;注冊密碼設(shè)置要復(fù)雜;配置SIP賬戶允許注冊的IP地址;對SIP賬戶的最大呼叫數(shù)進行設(shè)置。
1.8 防SIP DOS攻擊設(shè)置
網(wǎng)經(jīng)IP PBX為了防止黑客攻擊��,在設(shè)備里面增加了防SIP DOS攻擊功能��,增加了IP PBX的安全性�。SIP賬戶向IP PBX發(fā)起注冊請求,同一IP地址在指定周期內(nèi)如果注冊失敗次數(shù)達到最大值���,該SIP賬戶主機IP地址將系統(tǒng)被拉入灰名單���,暫時鎖定,超時后釋放。
在指定周期內(nèi)�,若累計達到被鎖定指定次數(shù),則該IP地址將被拉入防火墻黑名單��,IP PBX將對該IP地址發(fā)起的注冊請求不響應(yīng)��。啟用該功能需要確保防火墻為開啟狀態(tài)�。
1.9 對VOIP通信的保護
把VOIP語音網(wǎng)關(guān)設(shè)備放到互聯(lián)網(wǎng)上安全性得不到保障���,建議客戶提供專業(yè)的VPN(虛擬專用通道)對VOIP通信進行保護����,減少被黑客攻擊的風險和SIP用戶被盜打的概率��,從而保護VOIP通信安全�����。
