提高防范SIP攻击的安全意识

那天在QQ群上,有一个网友在询问我如何确保3cx IP PBX系统的安全性的时候,我和大家阐述了3cx系统IP PBX的安全性的设计。我其实原本的出发点是告诉大家在系统方面3CX IPPBX安全的工具设计还是蛮不错的。有很多不错的工具。

后来看到一个网友,说用了我们3CX IPPBX的系统被盗打,说我们的系统如何不安全。

看到了这个网友的反应,我的第1个感觉就是表示同情和遗憾。

我反思了一下,我在描述保证系统安全性的时候。我的重点只在于描述3CX这个系统的安全设计的优势,但是忽视了阐述系统管理员的意识的重要性。我打算通过这篇文章来帮大家提高管理员的安全意识。让大家知道有什么安全知识点是需要注意的。

开放的sip端口有风险

在互联网上有数以万计的sip攻击服务器在做着一个事情,就是扫描,哪一些IP地址开放5060端口.有一些用户认为采用其他SIP端口就可以了。但可惜的是,这也只是被攻击服务器的被扫描到的时间延后了一点点。如果我们要谈起更高级别的安全性,那当然最好是不开放端口。可惜的是安全的同时,也意味着丧失SIP远程注册一大便利性意味着,失去了原本网络通话远程电话的一个巨大优势。

用vpn来确保更高级别的安全性

采用VPN来确保网络voip通讯的方式会给安全性提高一个等级。在这种方式下,SIP攻击首先要突破VPN,才可以进入到系统。在这种方式下几乎已经可以屏蔽了,绝大多数的攻击,可以说sip系统的安全等级已经很高了。但是在这种方式下,所部署的硬件成本,人力成本,和时间管理成本也会跟着水涨船高。这样的方式门槛有些高,只适用于一些大中型企业同时还需要有一批高素质的it管理员团队。

那假如我们必须要开放端口,有什么办法是可以确保更高级别的安全性,这也是很多中小企业所关心的问题。我通过下面的一些知识点来帮助大家提高意识。

高强度用户名的密码

这一个其实是老生常谈的问题了。但我还是发现,很多系统管理员并不怎么重视。我们建议所有分机和系统管理员的密码必须保持下面一个高强度。

非常用字符+大小写英文+加数字+密码的长度超过12位=攻击服务器要花很长时间才能够破解现有的sip服务器

启用验证ID,密码和分机账号三重验证

这个大家请根据现有的系统,来查找验证的方式。一般来说,只要服务器地址和端口正确。我们的sip分机注册,只要分机和密码验证通过,就算注册成功。但严格的说这种安全性,只能说一般。我们建议在系统找到三重验证。也就是除了分机和密码再加上一个ID验证。而且必须要强制ID也是要大小写,英文加数字超过12位。在如此验证的结构下,一般的SIP攻击服务器很难突破这个防线。

采用IP地址白名单

如果的确是要采取远程注册,那最好是找到信任的IP地址,只允许某个ip地址分机注册。通过这样的方式,防火墙已经可以挡住绝大多数,SIP的攻击和扫描.而做出这一操作也需要具备防火墙和it管理员的配合才可以完成。

采用黑名单的设计

现在很多系统,都可以有这样的功能,就是收到一个IP地址错误的注册请求,超过三次自动屏蔽某个IP。只要注意启用这个选项,并且写好,系统你允许注册错误的次数,也可以提高系统的安全性。但是本段阐述黑名单的作用,也只是放在恶意注册,如果来自不同IP地址的恶意SIP攻击。有时候也会导致服务器瘫痪。在这种情况下,最好还是采用白名单的方式。

关闭国际长途

SIP攻击服务器到达号码的一个特点就是频繁的拨打国际长途产生高额的话费。在系统的拨号规则或者允许拨打国家的列表上关闭国际长途。那即使到了最后一道放线被破解了。几乎也不会损失电话费,因为这些攻击服务器它只会拨打00开始的号码。如果真损失了,损失也只是国内的电话费。而这样的话呢,也已经把损失的费用降到了最低。

好了,基本上主要的知识点就这么多,希望大家可以好好注意安全这门课,灵活运用,融会贯通,这样才能够保证系统的安全。把上面的多种方式结合在一起,才可以保证SIP系统的高安全性。另外也推荐大家阅读下面的文章。

开启TLS开启

使用这种方式,需要关闭不加密的5060端口。

安全SIP(TLS)设置3CX电话系统。通过这种方式,SIP消息将被加密,因此更安全。

保护 IP PBX 系统指南

3CX安全必读

网页客户端的安全性考虑