近来,各种针对VoIP语音网关设备的攻击频繁出现,给客户带来不少困扰和经济损失。为进一步防止VOIP语音网关遭受网络攻击或攻击后出现电话被盗打情况的发生,网经科技对语音网关设备安全防范提出几点防范措施,请客户按照措施对语音网关设备做好安全防范工作。
1.1 登陆密码管理
加强对设备登陆密码维护和管理,设备调试完成后及时更改设备登陆密码,不让无关人员随意进入设备修改数据。在配置用户密码时建议客户把密码配置的比较复杂,如包括数字、大小写字母和特殊字符串。
1.2 防火墙设置
为了增强IP PBX的网络安全,建议客户开启防火墙功能。关闭设备远程管理功能、开启设备禁ping功能;把和设备有业务联系的IP地址加入到防火墙白名单内。
1.3 用户权限控制
为了防止用户被黑客攻击后盗打电话情况的发生,客户在使用配置用户分机权限的时候尽量根据实际情况配置。如用户电话只有市话业务,可以给该分机设置市话权限;如用户电话只有国内长途业务,可以给该分机设置国内长途权限。
1.4 分机单次通话时长控制
建议客户在配置分机的时候根据个人的业务情况对该分机的单次通话时长参数进行设置,降低盗打产生巨额花费的风险。
1.5 系统全局通话时长控制
建议客户在配置数据的时候根据公司的电话业务情况对系统的通话时长参数进行设置,降低盗打产生巨额话费的风险。
1.6 SIP协议端口设置
建议IP PBX设备不要放到互联网上,如果设备必须置于互联网上,建议修改设备SIP协议端口(默认为5060),尽可能降低设备被扫描定位的几率。
1.7 SIP用户设置
PBX上如果没有SIP用户需求,请不要添加SIP用户,如果必须配置SIP用户,必须对SIP用户账户进行安全性设置。要求分机号码和注册账户设置不一样;对分机权限进行设置;注册密码设置要复杂;配置SIP账户允许注册的IP地址;对SIP账户的最大呼叫数进行设置。
1.8 防SIP DOS攻击设置
网经IP PBX为了防止黑客攻击,在设备里面增加了防SIP DOS攻击功能,增加了IP PBX的安全性。SIP账户向IP PBX发起注册请求,同一IP地址在指定周期内如果注册失败次数达到最大值,该SIP账户主机IP地址将系统被拉入灰名单,暂时锁定,超时后释放。在指定周期内,若累计达到被锁定指定次数,则该IP地址将被拉入防火墙黑名单,IP PBX将对该IP地址发起的注册请求不响应。启用该功能需要确保防火墙为开启状态。
1.9 对VOIP通信的保护
把VOIP语音网关设备放到互联网上安全性得不到保障,建议客户提供专业的VPN(虚拟专用通道)对VOIP通信进行保护,减少被黑客攻击的风险和SIP用户被盗打的概率,从而保护VOIP通信安全。