Thursday, August 6

Hướng dẫn cấu hình bảo mật MyPBX (Phần 1) – Tăng cường cổng và mật khẩu

Các cổng và mật khẩu là quan trọng nhất để bảo mật. Chúng tôi khuyên bạn nên thay đổi các cổng và mật khẩu mặc định.

1.1 Máy chủ web (HTTP)

1.1.1 Thay đổi Cổng ràng buộc HTTP mặc định
Đường dẫn: PBX – Basic Settings – General Preferences – Web Server

Chúng ta có thể thay đổi nó thành một cái khác như 8080 chẳng hạn.

1.1.2 Thay đổi mật khẩu mặc định
Đường dẫn: Hệ thống – Tùy chọn hệ thống – Cài đặt mật khẩu

Một mật khẩu mạnh cần được cấu hình ở đây cho tất cả các tài khoản. Đặc biệt là đối với tài khoản ‍ người dùng quản trị và người dùng.

1.2 Máy chủ web (HTTPS) *
HTTPS (HTTP qua SSL hoặc HTTP Secure) mã hóa và yêu cầu trang người dùng cũng như các trang được máy chủ Web trả về. Việc sử dụng HTTPS bảo vệ chống lại các cuộc tấn công trung gian. HTTPS đã được hỗ trợ kể từ phiên bản phần mềm X.19.X.X.
Chúng tôi có thể kích hoạt HTTPS và thay đổi cổng mặc định để bảo vệ MyPBX khỏi bị tấn công qua Web.
Đường dẫn: PBX–Basic Settings–General Preferences–Web Server

Sau khi HTTPS được bật, người dùng có thể đăng nhập MyPBX Web GUI thông qua HTTPS.

1.3 Máy lẻ
Tin tặc luôn gửi các gói đến PBX để đăng ký máy lẻ trước khi quay số. Bảo mật máy lẻ là rất quan trọng đối với người dùng.

1.3.1 Thay đổi cổng SIP mặc định
Đường dẫn: PBX – Cài đặt nâng cao – Cài đặt SIP – Chung – Cổng UDP

Chúng tôi khuyên bạn nên thay đổi điều này sang một cổng có sẵn khác, ví dụ: 5080.

1.3.2 Mật khẩu ngẫu nhiên cho máy lẻ *
Trong các phiên bản trước (trước X.19.X.X), mật khẩu mặc định của tiện ích mở rộng là ‍”Mã pincode + số tiện máy lẻ”. Mật khẩu có chữ và số trên và dưới được khuyến nghị thay đổi thành, ví dụ: AjK5Up1G.
Trong khi, trong phiên bản phần sụn mới (sau X.19.X.X), mật khẩu ngẫu nhiên được tạo cho các máy lẻ mới được tạo. Các mật khẩu ngẫu nhiên đều đủ mạnh với các chữ cái và số trên và dưới.

Lưu ý: mật khẩu mạnh là PHẢI cho các máy lẻ từ xa.

1.3.3. Hạn chế IP cho máy lẻ
Đường dẫn: PBX–Extensions–FXS/VoIP Extensions–VoIP Extensions–Other Settings–IP Restriction
Khi nó được cấu hình, chỉ IP được phép mới có thể đăng ký tiện ích mở rộng này. Tất cả các yêu cầu đăng ký khác sẽ bị từ chối.
Định dạng là địa chỉ IP / Mặt nạ mạng con, ví dụ: 192.168.5.136/255.255.255.255. Theo cách này, chỉ 192.168.5.136 có thể đăng ký tiện ích mở rộng 6010 này.

Lưu ý: nếu nó để mở rộng từ xa, thay vào đó, cần có một địa chỉ IP công cộng tĩnh để nhập.

1.3.4 “Tên đăng ký” cho máy lẻ *
Tùy chọn “Tên đăng ký” dành cho kết nối máy lẻ, sẽ tăng cường bảo mật sổ đăng ký máy lẻ. Người dùng sẽ không thể đăng ký máy lẻ nếu tên ủy quyền không chính xác mặc dù tên người dùng và mật khẩu là chính xác. Ví dụ: chúng tôi đặt “Tên đăng ký” là “abcd” cho máy lẻ 300, chúng tôi phải đặt tên ủy quyền “abcd” trên điện thoại mềm hoặc điện thoại IP để đăng ký thành công.
Bạn nên đặt “Tên đăng ký” cho máy lẻ và sau đó lấy nó để đăng ký tiện ích mở rộng.

1.3.5 Cấu hình bảo mật cho tiện ích mở rộng từ xa
Đường dẫn: PBX–Extensions–FXS/VoIP Extensions–VoIP Extensions–General
Kích hoạt ‍ Tải NAT NAT và ‍ Đăng ký từ xa giống như hình dưới đây.

Ghi chú:
1.Nếu không cần đăng ký từ xa, vui lòng vô hiệu hóa nó.
2.Nếu các tiện ích mở rộng đăng ký vào MyPBX qua cổng WAN, vui lòng chỉ bật ‍ Đăng ký từ xa.

1.3.6 Đăng ký TLS (Tùy chọn)
Bảo mật lớp vận chuyển (TLS) và tiền thân của nó, Lớp cổng bảo mật (SSL), là các giao thức mã hóa cung cấp bảo mật liên lạc qua Internet. Họ sử dụng mật mã bất đối xứng để xác thực trao đổi khóa, mã hóa đối xứng để bảo mật và mã xác thực tin nhắn cho tính toàn vẹn của tin nhắn. Một số phiên bản của các giao thức được sử dụng rộng rãi trong các ứng dụng như duyệt web, thư điện tử, fax Internet, nhắn tin tức thời và Thoại qua IP (VoIP).

TLS được hỗ trợ trong MyPBX để đăng ký SIP bảo mật; bạn cũng có thể đăng ký trung kế SIP cho các nhà cung cấp VoIP thông qua TLS. Chúng tôi cần tải chứng chỉ lên MyPBX và các điện thoại IP cùng nhau để được ủy quyền. Tin tặc gửi yêu cầu đăng ký đến PBX để đăng ký thông qua UDP. Nếu TLS được bật trong MyPBX, tin tặc sẽ không thể đăng ký tiện ích mở rộng mà không có CA và yêu cầu đăng ký sẽ bị từ chối trực tiếp.
Tham khảo Phụ lục I để có các bước chi tiết về cách sử dụng TLS trong MyPBX.

Lưu ý: TLS bị tắt trong MyPBX theo mặc định; chúng ta cần kích hoạt nó trong ‍ Cài đặt SIP SIP trước khi sử dụng nó.

Bài viết liên quan