那天在QQ群上�,有一個網友在詢問我如何確保3cx系統(tǒng)的安全性的時候,我和大家闡述了3cx系統(tǒng)的安全性的設計���。我其實原本的出發(fā)點是告訴大家在系統(tǒng)方面3CX安全的工具設計還是蠻不錯的��。有很多不錯的工具�����。
后來看到一個網友���,說用了我們3CX的系統(tǒng)被盜打,說我們的系統(tǒng)如何不安全�����。
看到了這個網友的反應�,我的第1個感覺就是表示同情和遺憾�����。
我反思了一下����,我在描述保證系統(tǒng)安全性的時候����。我的重點只在于描述3CX這個系統(tǒng)的安全設計的優(yōu)勢,但是忽視了闡述系統(tǒng)管理員的意識的重要性�。我打算通過這篇文章來幫大家提高管理員的安全意識。讓大家知道有什么安全知識點是需要注意的��。
開放SIP端口有風險
在互聯網上有數以萬計的sip攻擊服務器在做著一個事情�,就是掃描,哪一些IP地址開放5060端口.有一些用戶認為采用其他SIP端口就可以了���。但可惜的是����,這也只是被攻擊服務器的被掃描到的時間延后了一點點���。如果我們要談起更高級別的安全性��,那當然最好是不開放端口�����?���?上У氖前踩耐瑫r��,也意味著喪失SIP遠程注冊一大便利性意味著���,失去了原本網絡通話遠程電話的一個巨大優(yōu)勢���。
用vpn來確保更高級別的安全性
采用VPN來確保網絡VoIP通訊的方式會給安全性提高一個等級。在這種方式下�����,SIP攻擊首先要突破VPN�,才可以進入到系統(tǒng)。在這種方式下幾乎已經可以屏蔽了���,絕大多數的攻擊��,可以說sip系統(tǒng)的安全等級已經很高了����。但是在這種方式下,所部署的硬件成本�,人力成本,和時間管理成本也會跟著水漲船高��。這樣的方式門檻有些高�,只適用于一些大中型企業(yè)同時還需要有一批高素質的it管理員團隊。
那假如我們必須要開放端口���,有什么辦法是可以確保更高級別的安全性����,這也是很多中小企業(yè)所關心的問題�。我通過下面的一些知識點來幫助大家提高意識。
高強度用戶名的密碼
這一個其實是老生常談的問題了����。但我還是發(fā)現,很多系統(tǒng)管理員并不怎么重視���。我們建議所有分機和系統(tǒng)管理員的密碼必須保持下面一個高強度����。
非常用字符+大小寫英文+加數字+密碼的長度超過12位=攻擊服務器要花很長時間才能夠破解現有的sip服務器
啟用驗證ID,密碼和分機賬號三重驗證
這個大家請根據現有的系統(tǒng)����,來查找驗證的方式。一般來說����,只要服務器地址和端口正確�����。我們的sip分機注冊��,只要分機和密碼驗證通過����,就算注冊成功。但嚴格的說這種安全性�,只能說一般。我們建議在系統(tǒng)找到三重驗證���。也就是除了分機和密碼再加上一個ID驗證����。而且必須要強制ID也是要大小寫,英文加數字超過12位�����。在如此驗證的結構下��,一般的SIP攻擊服務器很難突破這個防線�����。
采用IP地址白名單
如果的確是要采取遠程注冊�����,那最好是找到信任的IP地址�,只允許某個ip地址分機注冊。通過這樣的方式��,防火墻已經可以擋住絕大多數����,SIP的攻擊和掃描.而做出這一操作也需要具備防火墻和it管理員的配合才可以完成�。
采用黑名單的設計
現在很多系統(tǒng)�,都可以有這樣的功能,就是收到一個IP地址錯誤的注冊請求�����,超過三次自動屏蔽某個IP�。只要注意啟用這個選項,并且寫好����,系統(tǒng)你允許注冊錯誤的次數,也可以提高系統(tǒng)的安全性����。但是本段闡述黑名單的作用�,也只是放在惡意注冊,如果來自不同IP地址的惡意SIP攻擊���。有時候也會導致服務器癱瘓���。在這種情況下,最好還是采用白名單的方式����。
關閉國際長途
SIP攻擊服務器到達號碼的一個特點就是頻繁的撥打國際長途產生高額的話費����。在系統(tǒng)的撥號規(guī)則或者允許撥打國家的列表上關閉國際長途��。那即使到了最后一道放線被破解了����。幾乎也不會損失電話費,因為這些攻擊服務器它只會撥打00開始的號碼�。如果真損失了,損失也只是國內的電話費�。而這樣的話呢,也已經把損失的費用降到了最低���。
好了�,基本上主要的知識點就這么多���,希望大家可以好好注意安全這門課�,靈活運用�,融會貫通,這樣才能夠保證系統(tǒng)的安全�����。把上面的多種方式結合在一起,才可以保證SIP系統(tǒng)的高安全性�。另外也推薦大家閱讀下面的文章。
