那天在QQ群上�����,有一個(gè)網(wǎng)友在詢問(wèn)我如何確保IPPBX/SIP服務(wù)器系統(tǒng)的安全性的時(shí)候�,我和大家闡述了IPPBX/SIP服務(wù)器系統(tǒng)的安全性的設(shè)計(jì)。我其實(shí)原本的出發(fā)點(diǎn)是告訴大家在系統(tǒng)方面IPPBX/SIP服務(wù)器安全的工具設(shè)計(jì)還是蠻不錯(cuò)的�����。有很多不錯(cuò)的工具��。后來(lái)看到一個(gè)網(wǎng)友,說(shuō)用了我們IPPBX/SIP服務(wù)器的系統(tǒng)被盜打����,說(shuō)我們的系統(tǒng)如何不安全��。看到了這個(gè)網(wǎng)友的反應(yīng)�����,我的第1個(gè)感覺(jué)就是表示同情和遺憾。
我反思了一下,我在描述保證系統(tǒng)安全性的時(shí)候�。我的重點(diǎn)只在于描述IPPBX/SIP服務(wù)器這個(gè)系統(tǒng)的安全設(shè)計(jì)的優(yōu)勢(shì)��,但是忽視了闡述系統(tǒng)管理員的意識(shí)的重要性。我打算通過(guò)這篇文章來(lái)幫大家提高管理員的安全意識(shí)���。讓大家知道有什么安全知識(shí)點(diǎn)是需要注意的���。
采用IP地址白名單
如果的確是要采取遠(yuǎn)程注冊(cè)�����,那最好是找到信任的IP地址�����,只允許某個(gè)ip地址分機(jī)注冊(cè)。通過(guò)這樣的方式���,防火墻已經(jīng)可以擋住絕大多數(shù),IPPBX/SIP的攻擊和掃描.而做出這一操作也需要具備防火墻和it管理員的配合才可以完成��。
采用黑名單的設(shè)計(jì)
現(xiàn)在很多系統(tǒng)��,都可以有這樣的功能,就是收到一個(gè)IP地址錯(cuò)誤的注冊(cè)請(qǐng)求�,超過(guò)三次自動(dòng)屏蔽某個(gè)IP��。只要注意啟用這個(gè)選項(xiàng),并且寫(xiě)好�,系統(tǒng)你允許注冊(cè)錯(cuò)誤的次數(shù)���,也可以提高系統(tǒng)的安全性��。但是本段闡述黑名單的作用����,也只是放在惡意注冊(cè)�����,如果來(lái)自不同IP地址的惡意IPPBX/SIP攻擊�。有時(shí)候也會(huì)導(dǎo)致服務(wù)器癱瘓�。在這種情況下��,最好還是采用白名單的方式。
關(guān)閉國(guó)際長(zhǎng)途
IPPBX/SIP攻擊服務(wù)器到達(dá)號(hào)碼的一個(gè)特點(diǎn)就是頻繁的撥打國(guó)際長(zhǎng)途產(chǎn)生高額的話費(fèi)����。在系統(tǒng)的撥號(hào)規(guī)則或者允許撥打國(guó)家的列表上關(guān)閉國(guó)際長(zhǎng)途。那即使到了最后一道放線被破解了���。幾乎也不會(huì)損失電話費(fèi)�����,因?yàn)檫@些攻擊服務(wù)器它只會(huì)撥打00開(kāi)始的號(hào)碼�����。如果真損失了�,損失也只是國(guó)內(nèi)的電話費(fèi)���。而這樣的話呢����,也已經(jīng)把損失的費(fèi)用降到了最低��。
高強(qiáng)度用戶名的密碼
這一個(gè)其實(shí)是老生常談的問(wèn)題了��。但我還是發(fā)現(xiàn),很多系統(tǒng)管理員并不怎么重視�����。我們建議所有分機(jī)和系統(tǒng)管理員的密碼必須保持下面一個(gè)高強(qiáng)度��。非常用字符+大小寫(xiě)英文+加數(shù)字+密碼的長(zhǎng)度超過(guò)12位=攻擊服務(wù)器要花很長(zhǎng)時(shí)間才能夠破解現(xiàn)有的IPPBX/SIP服務(wù)器
啟用驗(yàn)證ID,密碼和分機(jī)賬號(hào)三重驗(yàn)證
這個(gè)大家請(qǐng)根據(jù)現(xiàn)有的系統(tǒng)�����,來(lái)查找驗(yàn)證的方式。一般來(lái)說(shuō)���,只要服務(wù)器地址和端口正確�。我們的IPPBX/SIP分機(jī)注冊(cè)�,只要分機(jī)和密碼驗(yàn)證通過(guò)����,就算注冊(cè)成功����。但嚴(yán)格的說(shuō)這種安全性��,只能說(shuō)一般�����。我們建議在系統(tǒng)找到三重驗(yàn)證。也就是除了分機(jī)和密碼再加上一個(gè)ID驗(yàn)證��。而且必須要強(qiáng)制ID也是要大小寫(xiě),英文加數(shù)字超過(guò)12位�����。在如此驗(yàn)證的結(jié)構(gòu)下,一般的IPPBX/SIP攻擊服務(wù)器很難突破這個(gè)防線��。
開(kāi)放的IPPBX/SIP端口有風(fēng)險(xiǎn)
在互聯(lián)網(wǎng)上有數(shù)以萬(wàn)計(jì)的IPPBX/SIP攻擊服務(wù)器在做著一個(gè)事情,就是掃描����,哪一些IP地址開(kāi)放5060端口.有一些用戶認(rèn)為采用其他IPPBX/SIP端口就可以了�����。但可惜的是,這也只是被攻擊服務(wù)器的被掃描到的時(shí)間延后了一點(diǎn)點(diǎn)�����。如果我們要談起更高級(jí)別的安全性���,那當(dāng)然最好是不開(kāi)放端口?���?上У氖前踩耐瑫r(shí)��,也意味著喪失IPPBX/SIP遠(yuǎn)程注冊(cè)一大便利性意味著,失去了原本網(wǎng)絡(luò)通話遠(yuǎn)程電話的一個(gè)巨大優(yōu)勢(shì)���。
用vpn來(lái)確保更高級(jí)別的安全性
采用VPN來(lái)確保網(wǎng)絡(luò)voip通訊的方式會(huì)給安全性提高一個(gè)等級(jí)���。在這種方式下,IPPBX/SIP攻擊首先要突破VPN�,才可以進(jìn)入到系統(tǒng)����。在這種方式下幾乎已經(jīng)可以屏蔽了�����,絕大多數(shù)的攻擊,可以說(shuō)IPPBX/SIP系統(tǒng)的安全等級(jí)已經(jīng)很高了����。但是在這種方式下���,所部署的硬件成本����,人力成本,和時(shí)間管理成本也會(huì)跟著水漲船高����。這樣的方式門(mén)檻有些高����,只適用于一些大中型企業(yè)同時(shí)還需要有一批高素質(zhì)的it管理員團(tuán)隊(duì)�����。那假如我們必須要開(kāi)放端口,有什么辦法是可以確保更高級(jí)別的安全性�����,這也是很多中小企業(yè)所關(guān)心的問(wèn)題。我通過(guò)下面的一些知識(shí)點(diǎn)來(lái)幫助大家提高意識(shí)�����。
好了�,基本上主要的知識(shí)點(diǎn)就這么多,希望大家可以好好注意安全這門(mén)課��,靈活運(yùn)用,融會(huì)貫通����,這樣才能夠保證系統(tǒng)的安全���。把上面的多種方式結(jié)合在一起��,才可以保證IPPBX/SIP系統(tǒng)的高安全性��。另外也推薦大家閱讀下面的文章。
