近日���,多名客戶使用IPPBX和語音網關出現被盜打行為�,損失不少���。在這里再次提醒各位用戶和經銷商�����,拿到機器后需要做安全策略��。
一般因為異地組網或者外網注冊��,導致設備必須連接互聯網�,此時SIP注冊端口映射到互聯網上��。網上有專門的VoIP掃描盜打腳本��,來掃描互聯網上可能存在的SIP服務器�����,一旦掃描到目標�,就嘗試猜測注冊��,使用常見的分機號碼和密碼開始暴力破解��,一旦注冊成功�,就開始盜打國際長途付費電話����。
如果任何內網設備都不能訪問外網��,也不能被外網訪問���,純內網使用�,可以不設置安全策略�。
有互聯網暴露時����,至少做到以下安全機制:
1. 修改WEB登錄密碼���。
2. 修改SIP注冊端口�。
3. 設置SIP分機強注冊密碼�����,特殊字符+大小寫字母+數字的混合使用�。
4. 開啟SIP自動防御�����。
5. 開啟WEB自動防御����。
有條件的情況下��,還應該開啟:
1. SIP分機 用戶代理注冊認證����。
2. SIP分機 IP地址限制�。
3. 取消 WAN口訪問WEB(僅限LAN口管理的情況下)�。
4. 取消 WAN口訪問SSH(僅限LAN口管理的情況下)���。
5. 設置設備防火墻(僅限精通網絡防火墻的網管人員操作�,以免無法上網)����。
6. 上級路由器的網絡防火墻(僅限精通網絡防火墻的網管人員操作�����,以免無法上網)����。
7. 啟用TLS注冊�����,需要SIP終端支持�����。
8. 開啟SRTP語音加密���,需要SIP終端支持����。
如果機器已經在使用�����,請先備份后再操作:(避免誤操作���,設備無法訪問WEB界面���,導致需要初始化機器)
詳情請下載查看《IPPBX和語音網關有關防盜打的安全配置》文檔��,點擊文檔名下載.
