Thursday, August 6

Hướng dẫn cấu hình bảo mật MyPBX (Phần 2) – Cấu hình tường lửa

Vui lòng sao lưu cấu hình trên trang “Sao lưu và khôi phục” trước khi bạn tiếp tục. Trong trường hợp bạn khóa thiết bị, bạn có thể đặt lại về mặc định của nhà sản xuất và khôi phục các cấu hình trước đó.

Logic cơ bản để định cấu hình tường lửa là ‍ “cho phép tất cả các địa chỉ IP đáng tin cậy và sau đó kích hoạt Drop All”

Bước 1. Kích hoạt tường lửa trên trang tường lửa của MyPBX.
Đường dẫn: System–Security Settings–Firewall Rules–General Settings

Bước 2. Thêm quy tắc chung để chấp nhận truy cập mạng cục bộ.

Tạo quy tắc chung để cho phép tất cả các địa chỉ IP của điện thoại cục bộ truy cập máy chủ MyPBX. Ví dụ: dải IP cục bộ là 192.168.5.1-192.168.5.254, cấu hình có thể như sau:
Name: LocalNetwork
Protocol: BOTH
Port: 1:65535
IP: 192.168.5.0/255.255.255.0, the format must be ‍“IP/net mask”
Action: Accept

Bước 3. Thêm quy tắc chung để cho phép quản trị viên, tiện ích mở rộng hoặc thiết bị từ xa.
Ví dụ: IP công cộng là 110.30.25.152; chúng tôi có thể cho phép tất cả các cổng cho IP đáng tin cậy này.
Name: Remote
Protocol: BOTH
Port: 1:65535
IP: 110.30.25.152/255.255.255.255
Action: Accept

Lưu ý: Phạm vi IP công cộng tĩnh cần được định cấu hình ở đây, nếu địa chỉ IP động đó không phải là thuộc về một phạm vi, thì không cần phải định cấu hình, nhưng không nên đánh dấu vào Drop Drop Drop All trong bước tiếp theo. Các quy tắc danh sách đen IP sẽ giúp bảo vệ MyPBX. Chúng tôi khuyên bạn nên nhận IP tĩnh công khai cho mục đích bảo mật.

Bước 4. Thêm các quy tắc chung để chấp nhận dải IP công cộng tĩnh của nhà cung cấp VoIP.

Các cổng được sử dụng để liên hệ với nhà cung cấp SIP theo mặc định là 5060 và 10000-12000, nếu bạn đã thay đổi phạm vi cổng này, bạn có thể tự nhập nó ở đây.
Ví dụ: địa chỉ IP là 110.111.132.6, cấu hình nên có hai phần, một phần dành cho 5060 và phần thứ hai dành cho cổng RTP: 10000-12000.
Allow registry port: 5060.
Name: SIP
Protocol: UDP
Port: 5060
IP: 110.111.132.6/255.255.255.255
Action: Accept

Allow RTP port range:
Name: RTP
Protocol: UDP
Port: 10000:12000
IP: 110.111.132.6/255.255.255.255
Action: Accept

Lưu ý: Nếu máy chủ phương tiện của nhà cung cấp SIP là động và chúng tôi không thể thu thập phạm vi IP. Chúng tôi có thể cho phép phạm vi RTP cho toàn bộ địa chỉ IP như thế này:
Name: RTP_ALL
Protocol: UDP
Port: 10000:12000
IP: 0.0.0.0/0.0.0.0
Action: Accept

Trong trường hợp này, MyPBX có thể thoát khỏi sự cố âm lượng một chiều.

Bước 5. Chặn kết nối web của địa chỉ IP khác không được thêm vào danh sách chấp nhận.

Lưu ý: Nhiều cuộc tấn công được gây ra bởi quyền truy cập Web, nó khuyên bạn nên bỏ kết nối không tin cậy qua giao diện web.

Bước 6. Thêm các quy tắc chung để chấp nhận dải IP công cộng tĩnh của máy chủ NTP, SMTP và POP.

Chúng tôi khuyên bạn nên mở tất cả các cổng cho máy chủ NTP, SMTP và POP trong tường lửa MyPBX, và địa chỉ IP phải là một địa chỉ tĩnh hoặc thuộc về một phạm vi. Nếu nó là Dyndns, không cần phải định cấu hình quy tắc này, nhưng nên giữ danh sách đen IP và ‍ Drop Drop All All không nên đánh dấu.
Ví dụ: máy chủ SMTP là 110.30.1.123.
Name: Allow_SMTP
Protocol: BOTH
Port: 1:65535
IP: 110.30.1.123/255.255.255.255
Action: Accept

Bước 7. Cấu hình quy tắc danh sách đen tự động
Quy tắc danh sách đen tự động: Máy chủ sẽ tự động thêm địa chỉ IP vào danh sách đen nếu số lượng gói tin nó gửi vượt quá quy tắc bạn đã định cấu hình.

Lưu ý: 2 quy tắc sau được MyPBX tạo theo mặc định, chúng tôi khuyên bạn nên giữ quy tắc mặc định thay vì sửa đổi giá trị ở đó.

1) Hai quy tắc danh sách đen tự động cho cổng: 5060.
Quy trắc số 1
Port: 5060
Protocol: UDP
IP Packets: 120
Time Interval: 60 seconds

2) Quy tắc danh sách đen tự động cho Cổng: 8022
Quy tắc số 2
Port: 8022
Protocol: TCP
IP Packets: 5
Time Interval: 60 seconds

Bước 8. Kích hoạt tính năng Drop All (Nếu tính năng này được bật, tất cả các gói và kết nối không phù hợp với quy tắc sẽ bị loại bỏ.)

Cảnh báo: trước khi bật tính năng này, vui lòng tạo quy tắc để chấp nhận truy cập mạng cục bộ hoặc máy chủ có thể không được truy cập.

Ghi chú:
1. Sau khi bật Drop Drop Drop All, các quy tắc bảo vệ tự động và danh sách đen IP sẽ không có hiệu lực. Điều đó có nghĩa là ngoại trừ các IP và gói được xác định trong quy tắc chấp nhận, kết nối hoặc gói khác sẽ bị hủy.
2. Nếu ‍Drop All không được bật, vui lòng không bỏ quy tắc danh sách đen IP trong trường hợp lỗ hổng bảo mật hệ thống tồn tại.

Bước 9. Cấu hình cài đặt tường lửa hoàn tất. Xem hình dưới đây.

Bài viết liên quan