近來(lái),各種針對VoIP語(yǔ)音網(wǎng)關(guān)設備的攻擊頻繁出現,給客戶(hù)帶來(lái)不少困擾和經(jīng)濟損失。為進(jìn)一步防止VOIP語(yǔ)音網(wǎng)關(guān)遭受網(wǎng)絡(luò )攻擊或攻擊后出現電話(huà)被盜打情況的發(fā)生,網(wǎng)經(jīng)科技對語(yǔ)音網(wǎng)關(guān)設備安全防范提出幾點(diǎn)防范措施,請客戶(hù)按照措施對語(yǔ)音網(wǎng)關(guān)設備做好安全防范工作。
1.1 登陸密碼管理
加強對設備登陸密碼維護和管理,設備調試完成后及時(shí)更改設備登陸密碼,不讓無(wú)關(guān)人員隨意進(jìn)入設備修改數據。在配置用戶(hù)密碼時(shí)建議客戶(hù)把密碼配置的比較復雜,如包括數字、大小寫(xiě)字母和特殊字符串。
1.2 防火墻設置
為了增強IP PBX的網(wǎng)絡(luò )安全,建議客戶(hù)開(kāi)啟防火墻功能。關(guān)閉設備遠程管理功能、開(kāi)啟設備禁ping功能;把和設備有業(yè)務(wù)聯(lián)系的IP地址加入到防火墻白名單內。
1.3 用戶(hù)權限控制
為了防止用戶(hù)被黑客攻擊后盜打電話(huà)情況的發(fā)生,客戶(hù)在使用配置用戶(hù)分機權限的時(shí)候盡量根據實(shí)際情況配置。如用戶(hù)電話(huà)只有市話(huà)業(yè)務(wù),可以給該分機設置市話(huà)權限;如用戶(hù)電話(huà)只有國內長(cháng)途業(yè)務(wù),可以給該分機設置國內長(cháng)途權限。
1.4 分機單次通話(huà)時(shí)長(cháng)控制
建議客戶(hù)在配置分機的時(shí)候根據個(gè)人的業(yè)務(wù)情況對該分機的單次通話(huà)時(shí)長(cháng)參數進(jìn)行設置,降低盜打產(chǎn)生巨額花費的風(fēng)險。
1.5 系統全局通話(huà)時(shí)長(cháng)控制
建議客戶(hù)在配置數據的時(shí)候根據公司的電話(huà)業(yè)務(wù)情況對系統的通話(huà)時(shí)長(cháng)參數進(jìn)行設置,降低盜打產(chǎn)生巨額話(huà)費的風(fēng)險。
1.6 SIP協(xié)議端口設置
建議IP PBX設備不要放到互聯(lián)網(wǎng)上,如果設備必須置于互聯(lián)網(wǎng)上,建議修改設備SIP協(xié)議端口(默認為5060),盡可能降低設備被掃描定位的幾率。
1.7 SIP用戶(hù)設置
IP PBX上如果沒(méi)有SIP用戶(hù)需求,請不要添加SIP用戶(hù),如果必須配置SIP用戶(hù),必須對SIP用戶(hù)賬戶(hù)進(jìn)行安全性設置。要求分機號碼和注冊賬戶(hù)設置不一樣;對分機權限進(jìn)行設置;注冊密碼設置要復雜;配置SIP賬戶(hù)允許注冊的IP地址;對SIP賬戶(hù)的最大呼叫數進(jìn)行設置。
1.8 防SIP DOS攻擊設置
網(wǎng)經(jīng)IP PBX為了防止黑客攻擊,在設備里面增加了防SIP DOS攻擊功能,增加了IP PBX的安全性。SIP賬戶(hù)向IP PBX發(fā)起注冊請求,同一IP地址在指定周期內如果注冊失敗次數達到最大值,該SIP賬戶(hù)主機IP地址將系統被拉入灰名單,暫時(shí)鎖定,超時(shí)后釋放。在指定周期內,若累計達到被鎖定指定次數,則該IP地址將被拉入防火墻黑名單,IP PBX將對該IP地址發(fā)起的注冊請求不響應。啟用該功能需要確保防火墻為開(kāi)啟狀態(tài)。
1.9 對VOIP通信的保護
把VOIP語(yǔ)音網(wǎng)關(guān)設備放到互聯(lián)網(wǎng)上安全性得不到保障,建議客戶(hù)提供專(zhuān)業(yè)的VPN(虛擬專(zhuān)用通道)對VOIP通信進(jìn)行保護,減少被黑客攻擊的風(fēng)險和SIP用戶(hù)被盜打的概率,從而保護VOIP通信安全。
