继上次关于呼叫盗打的描述之后，现在该为我们这个系列来点新东西了。在这第三期中，我们有四大PBX安全技巧，帮助你缩小攻击面，将系统的脆弱性降到最低。

技巧 1：保持启用全局IP黑名单

3CX 全球黑名单是一个在所有 3CX 安装中默认自动启用的功能。它阻止大量已知的违规 IP 地址和范围，以保护你免受恶意攻击。

这里主要关注的是那些禁用了它的实例。请确保你的设备不是这种情况。当停用时，你的事件日志将记录黑名单事件和来自假的 SIP 用户代理的失败认证尝试，如Polycom VVX, Asterisk, Avaya等。事实上，在这里你可以看到一些扫描机器人在努力工作，对你的 SIP 分机进行暴力破解。

这些攻击可能发生在 VPN 和被破坏的主机后面，甚至是来自合法服务提供商的服务器和设备。当被篡改时，这些看起来是错误的配置，表现为开放的 SIP 中继。因此，攻击者可以将 REGISTER 信息反弹到你的系统中，同时隐藏在第三方服务后面。

技巧 2：确保端口访问受到限制

所有开放的端口都没有经过过滤，会带来麻烦。例如，SIP 5060（UDP/TCP）端口应被限制在受信任的用户终端和 VoIP 供应商特定的 IP 范围的有限列表中。

我们也看到了多次发生的情况：

话机的网页暴露给外部访问。通常情况下，这是由管理员启用的，允许通过广域网的 HTTP/HTTPS 端口来进行远程访问。这应该是完全不允许的。将用户界面端口开放给外部访问会带来一些风险，如果：

这些用户终端应该保持在他们的 NAT 后面，不能从外部世界直接到达。如果需要，你可以在一个工作站上设置一个临时的远程管理工具，然后从那里跳转到本地端点。

Linux 默认的 SSH 端口（TCP 22）未被过滤，也会导致持续的暴力攻击。这可以从你的机器的 Syslog auth.log 文件中很容易看出，由于来自许多公共 IP 地址的多次失败的记录尝试，该文件将不断增长。

在与你的 3CX 相同的服务器或系统上拥有第三方工具会增加你的攻击面。他们可能会创建额外的网络服务器和额外的服务，在新的端口上监听，反过来又暴露在外部攻击之下。

底线是，你应该用适当的 ACL /防火墙规则尽可能严格地过滤。

备份应该有密码保护，因为在过去我们看到过备份被泄露的案例。如果这些都是加密的，那么它们对黑客来说就没有任何用处。这就是为什么在你的所有设备上采用加密，并为每个设备设置不同的密码是一个好的做法。

此外，为所有安装的系统拥有一个共同的备份库并不是一个好主意。如果它被破坏了，那么你可能最终会有多个系统同时被黑。另外，恢复力如何呢？如果这个共同的备份存储驱动器出现故障怎么办？俗话说，你不应该把所有鸡蛋放在一个篮子里。

最后，你听说过管理控制台限制部分吗？它允许你定义哪些公共IP地址将被允许登录。其他任何人，即使有正确的凭证，也会被阻止。

请关注 3CX 安全手册第四集，我们下期再见！