VoIP的实现依赖于TCP/IP协议栈的运行,所以TCP/IP协议面临的所有安全问题我们都无法回避。如果VoIP的基础设施不能得到有效保护,它就能够被轻易地攻击,存储的谈话内容就会被窃听。用于传输VoIP的网络━━路由器、服务器,甚至是交换机,都更容易受到攻击。在我们遇到的事故中大多数是因为被盗打国际线路造成了巨额损失。我们一个北京的客户因为安装PBX的Linux服务器被黑客攻破,导致了线路被盗到,在短短的半天内产生了6万多的国际费用。所以说安全问题不容忽视。本片文章将介绍 3CX安全必读 。
3CX是安装在LINUX或者Windows上的PBX服务器。3CX本身默认设置中提供了一些保护措施,比如设置身份验证次数等。除了这些默认设置,我们需要在两大方面的安全进行设置。
1 服务器设备方面
在服务器设备(LINUX&WINDOWS)方面,如果设备是放在本地的,最好是关闭外网连接的端口。如果是云服务器,则最好将服务器的远程连接端口更改。
另外在密码设置方面不要设置过于简单的登录密码。
2 3CX方面
- 防火墙设置
- 使用ACL只允许受信任的IP,仅为SIP提供商的IP打开5060
- 只打开端口5090和5001,所有远程分机通过3CX隧道连接
- 分机设置
- 分机号和身份验证ID最好不要一样,身份验证ID和密码可设置的稍微复杂一点,密码最好设置为大小写数字并用
- 如果不需要外网注册分机或者外网通过3CX Tunnel注册,则可在分机选项里勾选 禁止使用外网分机选项
- 呼出规则设置,呼出规则方面设置好相关的分机或者分机组,这样可以限制分机的拨打权限,假如某个分机被破解,也会受到呼出规则限制
- 禁用可在语音邮件菜单上外拨号码功能选项。当黑客拨打电话到IVR可以直拨语音邮箱,因为语音邮箱的PIN码比较容易破解,所以最好在设置-PBX里面禁用此项功能
- 设置允许通话的地区或国家。如果客户不需要拨打国际长途,可不勾选国外地区,如果需要拨打到一些国家地区,则勾选相关选项。这样即使盗打也能起一定的限制。
- 开启下班时间自动禁止所有端口外呼,如果非工作事件不需要拨打外线电话的,则建议勾选此项功能。防止非工作时间出现攻击盗打无法及时解决造成严重损失。可进入设置-PBX里面进行设置
- 开启安全SIP(TLS)设置3CX电话系统。通过这种方式,SIP消息将被加密,因此更安全。
- 确保 3CX Tunnel 的密码足够复杂。您也可以手动修改默认的密码,但在正式投入使用之前请确保它的安全性。
- 我们V16版的3CX还提供了控制台设置,限制登录3CX控制面板的IP地址
上面是关于设置需要注意的地方。除此之外,因为3CX软电话注册是需要配置文件的,3CX配置文件里包含了重要的分机账户密码等信息。客户需要对配置文件进行必要的保护,可经常变动密码,增加安全性。