那天在QQ群上�����,有一個網(wǎng)友在詢問我如何確保3cx系統(tǒng)的安全性的時候����,我和大家闡述了3cx系統(tǒng)的安全性的設(shè)計��。我其實原本的出發(fā)點是告訴大家在系統(tǒng)方面3CX安全的工具設(shè)計還是蠻不錯的���。有很多不錯的工具。
后來看到一個網(wǎng)友���,說用了我們3CX的系統(tǒng)被盜打����,說我們的系統(tǒng)如何不安全。
看到了這個網(wǎng)友的反應(yīng)�����,我的第1個感覺就是表示同情和遺憾�。
我反思了一下,我在描述保證系統(tǒng)安全性的時候���。我的重點只在于描述3CX這個系統(tǒng)的安全設(shè)計的優(yōu)勢���,但是忽視了闡述系統(tǒng)管理員的意識的重要性。我打算通過這篇文章來幫大家提高管理員的安全意識�����。讓大家知道有什么安全知識點是需要注意的���。
開放SIP端口有風(fēng)險
在互聯(lián)網(wǎng)上有數(shù)以萬計的sip攻擊服務(wù)器在做著一個事情�,就是掃描�����,哪一些IP地址開放5060端口.有一些用戶認(rèn)為采用其他SIP端口就可以了。但可惜的是�,這也只是被攻擊服務(wù)器的被掃描到的時間延后了一點點。如果我們要談起更高級別的安全性�,那當(dāng)然最好是不開放端口?�?上У氖前踩耐瑫r����,也意味著喪失SIP遠(yuǎn)程注冊一大便利性意味著,失去了原本網(wǎng)絡(luò)通話遠(yuǎn)程電話的一個巨大優(yōu)勢����。
用vpn來確保更高級別的安全性
采用VPN來確保網(wǎng)絡(luò)VoIP通訊的方式會給安全性提高一個等級。在這種方式下����,SIP攻擊首先要突破VPN,才可以進(jìn)入到系統(tǒng)�。在這種方式下幾乎已經(jīng)可以屏蔽了,絕大多數(shù)的攻擊��,可以說sip系統(tǒng)的安全等級已經(jīng)很高了�。但是在這種方式下,所部署的硬件成本�,人力成本,和時間管理成本也會跟著水漲船高�����。這樣的方式門檻有些高���,只適用于一些大中型企業(yè)同時還需要有一批高素質(zhì)的it管理員團(tuán)隊���。
那假如我們必須要開放端口,有什么辦法是可以確保更高級別的安全性����,這也是很多中小企業(yè)所關(guān)心的問題。我通過下面的一些知識點來幫助大家提高意識�。
高強度用戶名的密碼
這一個其實是老生常談的問題了。但我還是發(fā)現(xiàn)��,很多系統(tǒng)管理員并不怎么重視�����。我們建議所有分機和系統(tǒng)管理員的密碼必須保持下面一個高強度���。
非常用字符+大小寫英文+加數(shù)字+密碼的長度超過12位=攻擊服務(wù)器要花很長時間才能夠破解現(xiàn)有的sip服務(wù)器
啟用驗證ID����,密碼和分機賬號三重驗證
這個大家請根據(jù)現(xiàn)有的系統(tǒng),來查找驗證的方式�。一般來說,只要服務(wù)器地址和端口正確���。我們的sip分機注冊���,只要分機和密碼驗證通過,就算注冊成功��。但嚴(yán)格的說這種安全性����,只能說一般。我們建議在系統(tǒng)找到三重驗證���。也就是除了分機和密碼再加上一個ID驗證���。而且必須要強制ID也是要大小寫,英文加數(shù)字超過12位��。在如此驗證的結(jié)構(gòu)下,一般的SIP攻擊服務(wù)器很難突破這個防線�。
采用IP地址白名單
如果的確是要采取遠(yuǎn)程注冊,那最好是找到信任的IP地址���,只允許某個ip地址分機注冊。通過這樣的方式����,防火墻已經(jīng)可以擋住絕大多數(shù),SIP的攻擊和掃描.而做出這一操作也需要具備防火墻和it管理員的配合才可以完成�。
采用黑名單的設(shè)計
現(xiàn)在很多系統(tǒng),都可以有這樣的功能���,就是收到一個IP地址錯誤的注冊請求�,超過三次自動屏蔽某個IP��。只要注意啟用這個選項���,并且寫好���,系統(tǒng)你允許注冊錯誤的次數(shù),也可以提高系統(tǒng)的安全性����。但是本段闡述黑名單的作用�,也只是放在惡意注冊�����,如果來自不同IP地址的惡意SIP攻擊�����。有時候也會導(dǎo)致服務(wù)器癱瘓�����。在這種情況下�,最好還是采用白名單的方式。
關(guān)閉國際長途
SIP攻擊服務(wù)器到達(dá)號碼的一個特點就是頻繁的撥打國際長途產(chǎn)生高額的話費�����。在系統(tǒng)的撥號規(guī)則或者允許撥打國家的列表上關(guān)閉國際長途���。那即使到了最后一道放線被破解了��。幾乎也不會損失電話費���,因為這些攻擊服務(wù)器它只會撥打00開始的號碼���。如果真損失了,損失也只是國內(nèi)的電話費���。而這樣的話呢�,也已經(jīng)把損失的費用降到了最低���。
好了,基本上主要的知識點就這么多�����,希望大家可以好好注意安全這門課���,靈活運用�����,融會貫通��,這樣才能夠保證系統(tǒng)的安全�。把上面的多種方式結(jié)合在一起,才可以保證SIP系統(tǒng)的高安全性��。另外也推薦大家閱讀下面的文章����。
