MyPBX 安全性配置向导 厦门朗视信息科技有限公司 : V1.5
MyPBX 安全性配置向导 MyPBX 安全性配置向导 版本: V1.5 日期: 2014 年 5 月 5 日 厦门朗视信息科技有限公司 厦门朗视信息科技有限公司(www.yeastar.cn) 1/56 MyPBX 安全性配置向导 目录 介绍 .......................................................................................................................................................................3 安全中心 ...............................................................................................................................................................4 1 增强端口和密码的安全性 ..................................................................................................................................5 1.1 网页访问(HTTP)...................................................................................................................................... 5 1.1.1 修改默认的网页访问端口 ................................................................................................................... 5 1.1.2 修改默认密码 ...................................................................................................................................... 5 1.2 网页访问 (HTTPS)* ...................................................................................................................................... 5 1.3 分机 ............................................................................................................................................................. 6 1.3.1 修改 SIP 的默认端口 ............................................................................................................................ 6 1.3.2 分机随机密码* .................................................................................................................................... 6 1.3.3. IP 地址限制 ......................................................................................................................................... 7 1.3.4 分机注册认证* .................................................................................................................................... 7 1.3.5 远程分机的安全配置 ........................................................................................................................... 8 1.3.6 TLS 注册 (可选) .................................................................................................................................... 9 2 防火墙配置 ...................................................................................................................................................... 10 3 安全服务.......................................................................................................................................................... 20 3.1 关闭“匿名认证” ...................................................................................................................................... 20 3.2 SSH 安全 .................................................................................................................................................... 20 3.2.1 关闭 SSH............................................................................................................................................. 20 3.2.2 更改 SSH 的默认密码 ......................................................................................................................... 21 3.3 FTP 安全* ................................................................................................................................................... 22 3.4 AMI 设置.................................................................................................................................................... 23 3.5 TFTP ............................................................................................................................................................ 24 3.6 数据库授权 ............................................................................................................................................... 25 3.7 警报设置 ................................................................................................................................................... 26 3.7.1 IPATTACK .............................................................................................................................................. 26 3.7.2 WEBLOGIN ........................................................................................................................................... 27 4 国际通话限制 .................................................................................................................................................. 28 4.1 在提供商边限制通话费用 ......................................................................................................................... 28 4.2 为国际通话设置密码 ................................................................................................................................ 28 4.3 在 MYPBX 中关闭国际通话 ........................................................................................................................ 30 附录 A 怎样使用在 MYPBX 中的 TLS ................................................................................................................. 33 1 IP 话机如何通过 TLS 注册到 MYPBX ............................................................................................................. 33 2 如何通过 TLS 将 SIP 中继注册到 VOIP 提供商 ............................................................................................. 55 厦门朗视信息科技有限公司(www.yeastar.cn) 2/56 MyPBX 安全性配置向导 介绍 VoIP 攻击,虽然不是每天都会发生,但确实存在。因此在使用 VoIP 时,系统的安全性,显然是我们最 关心的问题之一。而使用适当的配置,加上一些基本的安全习惯,便可以提高电话系统安全性。 MyPBX 内置强大的防火墙功能,足以保障系统安全稳定运行。 而此文档将介绍 MyPBX 最高防御级别的防火墙以及其他安全项的配置,我们强烈建议您根据此文档进行 配置,以防系统被攻击盗打而造成系统故障或话费损失。 以下是关于 MyPBX 安全配置的简单逻辑: 1. 基础设置:加强网页和分机的密码,更改相应的端口。 2. 配置 MyPBX 内部的防火墙,添加防火墙规则的逻辑是把所有受信任的 IP 填入到“接收”动作的规则 中,并启用“拦截所有与以上规则不匹配的连接或数据包”来拒绝其他所有不受信任的 IP 访问。 3. 根据具体环境设置其他安全服务。 4. 根具体环境限制国际号码呼叫。 5. 通过 TLS 方式注册分机(可选) 。 出于安全考虑,第一和第二点是必须配置的。 注意: 1. 本文档适用于 MyPBX 所有设备型号除了 MyPBX Standard V1/V2/V3/V4/V5,MyPBX SOHO V1/V2/V3 和 MyPBX E1。 2. 在本文档中,部分带*号的配置选项,表示仅 X.19.X.X 及以上的版本具备。 3. 出于安全考虑,我们建议把固件升级到最新的版本。 4. 不要把任何不需要使用的端口映射到路由器上。 5. 我们建议对使用 VoIP 外线拨打国际电话的金额做限制。 厦门朗视信息科技有限公司(www.yeastar.cn) 3/56 MyPBX 安全性配置向导 安全中心 “安全中心”页面包含了防火墙、服务、端口的安全设置,便于管理员管理 MyPBX 安全性配置。 点击“系统安全设置安全中心”来获得详细信息。你可以点击按钮修改对应配置。你可以根据本手 册一步步配置并在该页面查看结果。 1. 端口: 该页面显示了 SIP、HTTP 和 HTTPS 所使用的端口,我们可以点击“设置”来改变它。建议修改默认的端 口。 图 0-1 2. 服务: 该页面显示了如:AMI、SSH、FTP 和 TFTP 服务的基本信息,我们建议不需要这些服务的时候应关闭它 们。 注意:TFTP 用于话机的自动配置,默认开启,你可以在配置完所有话机后关闭它。 图 0-2 3. 防火墙: 在该页面将显示防火墙规则的基本信息。我们建议根据该手册的第二部分“防火墙设置”进行详细设置。 图 0-3 厦门朗视信息科技有限公司(www.yeastar.cn) 4/56 MyPBX 安全性配置向导 1 增强端口和密码的安全性 对于安全来说端口和密码是最重要的;我们建议把默认的配置修改为你想要的。 1.1 网页访问(HTTP) 1.1.1 修改默认的网页访问端口 路径:PBX基本设置 常规设定网页服务类型 图 1-1 例如我们可以把它改成 8080。 1.1.2 修改默认密码 路径:系统 系统参数密码设置 图 1-2 需要为所有的账户配置一个高强度的密码。特别是“admin”和“user” 。 1.2 网页访问 (HTTPS)* HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的 HTTP 通道,简单讲是 HTTP 的安全版,用于安全的 HTTP 数据传输。用户可启用 HTTPS 端口,并更改默认端口, 保护 MyPBX 的网页访问,防止网页攻击。 路径:PBX基本设置 常规设定网页服务类型 图 1-3 厦门朗视信息科技有限公司(www.yeastar.cn) 5/56 MyPBX 安全性配置向导 HTTPS 启用之后,用户就可以通过 HTTPS 登录 MyPBX。 1.3 分机 黑客总是向 PBX 发送数据包来注册分机,并在这之后往外呼出。对于用户来说分机的安全性非常重要。 1.3.1 修改 SIP 的默认端口 路径:PBX高级设置SIP 设置常规UDP 端口 图 1-4 我们建议把它修改成其它可用的端口,比如:5080。 1.3.2 分机随机密码* 之前的版本,分机的默认密码均为“pincode+分机号码”。在 X.19.X.X 版本之后,新创建的分机,系统 将随机为分机分配强度系数较高的密码,包含了大小写字母和数字。 在这里,建议用户升级到最新版本,以获得此功能,加强分机的安全性。 图 1-5 注意:对于远程分机来说,系统会要求输入高强度的密码,包括大小写字母和数字。 厦门朗视信息科技有限公司(www.yeastar.cn) 6/56 MyPBX 安全性配置向导 1.3.3. IP 地址限制 路径:PBX分机FXS/VoIP 分机 VoIP 分机其他设置IP 地址限制 在完成配置后,只有所填的 IP 允许注册到该分机。其他所有的注册请求都将被拒绝。 格式为“IP 地址/子网掩码” ,例如 192.168.5.136/255.255.255.255。这样,只有 192.168.5.136 能注 册到分机 8004。 图 1-6 注意:如果该分机用于远程注册,那这里要填入静态公网 IP 地址。 1.3.4 分机注册认证* “注册名字”项是用于分机的注册,它将使分机注册更加安全。用户如果输入错误的“注册 名字” ,即使此时输入的用户名和密码都正确,也不能成功注册分机。例如,我们在分机 300 中设置“注册名字”为 abcd,那么必须在软件电话或者 IP 话机中的“注册名字”填入 abcd。 我们建议用户设置“注册名字” ,增强分机注册的安全性。 厦门朗视信息科技有限公司(www.yeastar.cn) 7/56 MyPBX 安全性配置向导 图 1-7 图 1-8 1.3.5 远程分机的安全配置 路径:PBX分机FXS/VoIP 分机 VoIP 分机常规 如下图所示,启用“NAT”和“远程注册” 。 厦门朗视信息科技有限公司(www.yeastar.cn) 8/56 MyPBX 安全性配置向导 图 1-9 注意: 1. 如果不需要远程注册,请将其关闭。 2. 如果分机通过 WAN 口注册到 MyPBX,那么只需启用“远程注册”。 1.3.6 TLS 注册 (可选) 传输层安全 (TLS)和它的前身:安全套接字层 (SSL),是用于为跨网通信提供安全的加密协议。它们使 用非对称加密来交换认证密钥,使用对称加密和信息认证码来保证信息的完整性。协议的多个版本被广 泛用于比如:网页浏览、电子邮件、网络传真、即时信息和 VoIP。 MyPBX 支持使用 TLS 来为 SIP 注册提供安全;你也可以使用 TLS 把 SIP 外线注册到 VoIP 提供商。我们 必须同时上传证书到 MyPBX 和 IP 话机中,该证书用于授权。 黑客通常通过 UDP 发送注册请求到 PBX,如果在 MyPBX 中启用 TLS,黑客在没有 CA 证书的情况下不能注 册到分机,注册请求将被直接拒绝。 请参考附录 I 以便获取更多关于如何在 MyPBX 中使用 TLS 的信息。 注意:在 MyPBX 中 TLS 默认关闭;在使用前,我们需要到“SIP 设置”页面中的“高级设置”去启 用它。 厦门朗视信息科技有限公司(www.yeastar.cn) 9/56 MyPBX 安全性配置向导 2 防火墙配置 注意:请在配置防火墙之前先在“备份与还原”页面备份配置,并把备份文件下载到本地电脑上。在出 现防火墙配置错误导致无法访问服务器的情况下,可以重置服务器并导入之前的数据。 添加防火墙规则的逻辑是把所有受信任的 IP 填入到“接收”列表中,并启用“拦截所有与以上规则不 匹配的连接或数据包”来拒绝其他所有不受信任的 IP 访问。 步骤 1. 在 MyPBX 的“防火墙规则”页面中启用防火墙。 路径:系统安全设置 防火墙规则常规设定 图 2-1 步骤 2. 添加通用规则以允许本地网络接入。 创建一条通过规则,该规则用于允许所有的本地话机接入到 MyPBX 服务器。例如,本地 IP 地址段位 192.168.5.1-192.168.5.254,可以依据下图配置: 名称: LocalNetwork 协议: BOTH 端口: 1:65535 IP: 192.168.2.0/255.255.255.0, 格式必须是“IP/子网掩码” 。 动作: 接收 图 2-2 厦门朗视信息科技有限公司(www.yeastar.cn) 10/56 MyPBX 安全性配置向导 步骤 3.添加一条通用规则以允许所有的远程管理员、分机或者设备接入。 例如公网 IP 是 110.30.25.152,我们可以为其开放所有的端口。 名称: Remote 协议: BOTH 端口: 1:65535 IP: 110.30.25.152/255.255.255.255 动作: 接收 图 2-3 注意:需要在这里配置静态公网 IP 地址段,如果它是一个动态 IP 地址,并且不固定在一个范围内,那 么没有必要在此处配置它,但是在下个步骤中不能启用“拦截所有与以下规则不匹配的连接或数据包”。 “IP 黑名单”里的“黑名单规则”将帮助保护 MyPBX。出于安全考虑,我们建议尽可能的获取准确的 静态公网 IP 地址。 步骤 4.添加一条通用规则以允许 VoIP 提供商的静态公网 IP 地址段接入。 用于连接 SIP 提供商的默认端口是 5060 和 10000-12000,如果你已经修改了端口号,可以在此处将其 填入。 IP 地址为 110.111.132.6,那么需要配置两个端口,一个是 5060,另外一个是用于传输 RTP 的端口: 10000-12000。 允许注册端口:5060。 名称: SIP 协议: UDP 端口: 5060:5060 IP:110.111.132.6/255.255.255.255 动作: 接收 厦门朗视信息科技有限公司(www.yeastar.cn) 11/56 MyPBX 安全性配置向导 图 2-4 允许所有 RTP 端口: 名称: RTP 协议: UDP 端口: 10000:12000 IP: 110.111.132.6/255.255.255.255 动作: 接入 图 2-5 注意:如果 SIP 提供商的服务器 IP 地址是动态的,并且我们无法获得准确的 IP 地址段,那么我们可 以允许接收所有的 IP 地址段的 RTP 信息。如下所示: 名称: RTP_ALL 协议: UDP 厦门朗视信息科技有限公司(www.yeastar.cn) 12/56 MyPBX 安全性配置向导 端口: 10000:12000 IP: 0.0.0.0/0.0.0.0 动作: 接收 图 2-6 使用这种配置,MyPBX 可以避免“单通”问题。 步骤 5.拦截其它不在“接收”列表中的 IP 地址,禁止访问网页端口。 图 2-7 注意:许多攻击是通过网页接入引起的,我们强烈建议拦截不受信任的 IP,禁止访问网页端口。 步骤 6. 添加通用规则以允许如:NTP、SMTP、POP 和 STUN 服务器等的静态公网 IP 的数据包 通过。 我们建议在 NTP,SMTP 和 POP 服务器的 IP 地址是静态的或者属于某个网段的情况下,为它们打开所有 厦门朗视信息科技有限公司(www.yeastar.cn) 13/56 MyPBX 安全性配置向导 的端口。如果是动态的,则不需要配置它们,但是 IP 黑名单规则必须设置,并且“拦截所有与以下规 则不匹配的连接或数据包” 不能启用。 例如 SMTP 服务器的 IP 地址为 110.30.1.123。 名称: Allow_SMTP 协议: BOTH 端口: 1:65535 IP: 110.30.1.123/255.255.255.255 动作: 接收 图 2-8 例如 POP 服务器的 IP 地址为 218.85.65.150。 名称: Allow_POP 协议: BOTH 端口: 1:65535 IP: 218.85.65.150/255.255.255.255 动作:接收 厦门朗视信息科技有限公司(www.yeastar.cn) 14/56 MyPBX 安全性配置向导 图 2-9 例如 NTP 服务器的 IP 地址为 202.120.2.101。 名称: Allow_NTP 协议: BOTH 端口: 1:65535 IP: 202.120.2.101/255.255.255.255 动作: 接收 图 2-10 例如 STUN 服务器的 IP 地址为 218.85.148.250。 名称: Allow_STUN 协议: BOTH 厦门朗视信息科技有限公司(www.yeastar.cn) 15/56 MyPBX 安全性配置向导 端口: 1:65535 IP: 218.85.148.250/255.255.255.255 动作: 接收 图 2-11 步骤 7. 配置“黑名单规则” 。 黑名单规则:如果某设备发包的数量超过你设置的阀值,那么 MyPBX 将自动将其列入到黑名单中。 注意:MyPBX 默认创建 3 条规则,我们建议保持默认的数值。 1) 为端口:5060 添加“黑名单规则”。 规则 1: 端口: 5060 协议: UDP IP 数据包: 120 时间间隔: 60 秒 图 2-12 规则 2: 端口: 5060 协议: UDP IP 数据包: 40 厦门朗视信息科技有限公司(www.yeastar.cn) 16/56 MyPBX 安全性配置向导 时间间隔: 2 秒 图 2-13 2) 为端口:8022 添加“黑名单规则”。 规则 3: 端口: 8022 协议: TCP IP 数据包: 5 时间间隔: 60 秒 图 2-14 步骤 8. 开启“拦截所有与以下规则不匹配的连接或数据包” (如果该功能被启用,那么所有不匹配“接 收”列表的数据包和连接都将被拒绝) 。 警告:在开启该功能前,请先创建一条规则以允许本地网络的连接,否则可能连接不到 MyPBX 上。 厦门朗视信息科技有限公司(www.yeastar.cn) 17/56 MyPBX 安全性配置向导 图 2-15 注意: 1. 在启用“拦截所有与以下规则不匹配的连接或数据包”后,“自动防御规则”和“IP 黑名单”都将 失效。这意味着除了在“接收”规则中的数据包和连接,其他的都将被拒绝。 2. 如果“拦截所有与以下规则不匹配的连接或数据包”没被启用,那么请不要移除“黑名单规则” ,以 免系统存在安全漏洞。 步骤 9.防火墙的配置已经完成,请看下图: 厦门朗视信息科技有限公司(www.yeastar.cn) 18/56 MyPBX 安全性配置向导 图 2-16 图 2-17 厦门朗视信息科技有限公司(www.yeastar.cn) 19/56 MyPBX 安全性配置向导 3 安全服务 3.1 关闭“匿名认证” 匿名呼叫:通过 IP 注册攻击的,是没有用户名的,如果不关闭匿名呼叫,则允许该非法用户拨打内部 分机。 路径:PBX高级设置SIP 设置高级设置匿名认证 图 3-1 注意:“匿名认证”默认是关闭的;请在不使用的情况下保持“否”。 3.2 SSH 安全 3.2.1 关闭 SSH 路径:系统网络参数LAN 设置启用 SSH 如果不需要调试 MyPBX,请选择“否” 。 图 3-2 厦门朗视信息科技有限公司(www.yeastar.cn) 20/56 MyPBX 安全性配置向导 注意:SSH 接入默认是关闭的;请在不需要的时候保持选择“否” 。 3.2.2 更改 SSH 的默认密码 我们可以使用 Linux 的“passwd”命令修改 MyPBX 的 root 密码。 1. 通过 putty.exe 软件登录。 图 3-3 2. 默认登录用户名为:root,默认密码为:ys123456。 厦门朗视信息科技有限公司(www.yeastar.cn) 21/56 MyPBX 安全性配置向导 图 3-4 3. 使用 passwd 命令更改 root 的密码。 图 3-5 你必须输入两次新密码才能使其生效。 3.3 FTP 安全* 路径:系统网络参数LAN 设置启用 FTP 厦门朗视信息科技有限公司(www.yeastar.cn) 22/56 MyPBX 安全性配置向导 如果不需要通过 FTP 登录 MyPBX,请选择“否”。 图 3-2 注意:FTP 接入默认是关闭的;请在不需要的时候保持选择“否” 。 3.4 AMI 设置 MyPBX 开发接口允许客户端程序以 TCP/IP 方式连接服务端程序,客户端程序可以发起一个连接到服 务端。连接成功后,客户端可以通过 TCP/IP 流发起命令或读取各类事件、响应实现所需功能。 获取更多信息,请参考以下链接: http://www.voip-info.org/wiki/view/Asterisk+manager+API 路径:系统安全设置AMI 设置 如上图所示,我们可以直接在“AMI 设置”页面配置账号信息和接入 IP 地址,以便管理接入 AMI 的 账号。 图 3-6 注意:该功能默认是关闭的;通常情况下不需要启用。如果启用了,请更改默认的账户信息并配置“IP 地址限制”。 例如,用户想设置的 AMI 账号为: 用户名: Developer 密码: Developer 唯一允许登录的 IP 为 192.168.1.71 可以如下所示操作: 厦门朗视信息科技有限公司(www.yeastar.cn) 23/56 MyPBX 安全性配置向导 图 3-7 保存并应用以使配置生效。 想确认更多信息,请使用命令“cat /etc/asterisk/manager.conf”查看。 图 3-8 3.5 TFTP 在使用“话机配置”时,MyPBX 可以作为 TFTP 服务器使用,并且该功能默认开启。在所有的话机都 配置完后,你可以将其关闭以便保护 MyPBX 中的配置文件。 点击“系统安全设置安全中心服务” ,可以在该页面直接关闭。 厦门朗视信息科技有限公司(www.yeastar.cn) 24/56 MyPBX 安全性配置向导 图 3-9 3.6 数据库授权 在 MyPBX 的 x.18.0.xx 以上版本中集成了 MySQL,它方便用户管理通话记录和录音日志。为了保证 数据库接入的安全性,我们需要先创建用户名和密码才能登录。 默认没有配置账户,如果你需要使用第三方软件连接到数据库,你需要先创建一个账户。 例如,用户名: Harry,密码:Harry123。 图 3-10 保存并应用以使配置生效。 图 3-11 当使用其他软件登录到数据库,我们可以查看通话记录。 厦门朗视信息科技有限公司(www.yeastar.cn) 25/56 MyPBX 安全性配置向导 图 3-12 3.7 警报设置 在启用警报设置后,如果设备遭到攻击,系统将通过电话或者电子邮件通知用户。攻击类型包括 “IPATTACK”和“WEBLOGIN” 。 3.7.1 IPATTACK 当系统设置了防火墙且受到 IP 攻击时,防火墙会将把攻击源地址加入“IP 黑名单”列表,若启用警报 设置,则有 IP 被加入黑名单时自动报警。 例 如 : 配 置 当 系 统 受 到 IP 攻 击 时 , 电 话 通 知 内 部 分 机 500 和 外 线 号 码 5503301 ; 邮 件 通 知 [email protected]。 配置如下: 电话通知设置: 电话通知: 是 号码: 500;5503301 尝试次数: 1 时间间隔: 60 秒 提示音: default 注意:电话通知号码如果为外线号码,所填的号码需匹配任一呼出路由的呼出模式。 电子邮件通知设置: 电子邮件通知: 是 收件人: [email protected] 主题: IPAttack 厦门朗视信息科技有限公司(www.yeastar.cn) 26/56 MyPBX 安全性配置向导 图 3-13 3.7.2 WEBLOGIN 当连续输入5次错误密码登陆MyPBX,将会视为网页攻击,系统将自动限制该IP十分钟内禁止登陆。若 启用警报功能则通知用户。此设置针对所有的账号登录,包括admin, user, cdr,分机账号及插件登 录。 例 如 : 配 置 当 系 统 受 到 IP 攻 击 时 , 电 话 通 知 内 部 分 机 500 和 外 线 号 码 5503301 ; 邮 件 通 知 [email protected]. 配置如下: 电话通知设置: 电话通知: 是 号码: 500;5503301 尝试次数: 1 时间间隔: 60 秒 提示音: default 注意:电话通知号码如果为外线号码,所填的号码需匹配任一呼出路由的呼出模式。 电子邮件通知设置: 电子邮件通知: 是 收件人: [email protected] 主题:WebLogin 厦门朗视信息科技有限公司(www.yeastar.cn) 27/56 MyPBX 安全性配置向导 图 3-14 4 国际通话限制 4.1 在提供商边限制通话费用 我们可以向VoIP/PSTN/ISDN提供商协商,让他们提前限制国际通话的费用,这样黑客将不能拨打国 际电话。如果用户不需要打国际号码,那么可以要求提供商关闭国际通话服务。 4.2 为国际通话设置密码 MyPBX也可以为呼出路由设置密码;点击“PBX呼出设置 呼出路由”。 例如,你想使用的密码为:5503333 呼出模式:00. <不要省略这里的点号> 密码:5503333 如图所示,选择允许拨出电话的分机和中继到右边的方框: 厦门朗视信息科技有限公司(www.yeastar.cn) 28/56 MyPBX 安全性配置向导 图 4-1 保存并应用后,当500和501分机摘机并拨打国际号码,MyPBX将询问密码,如果密码正确,通话将 正常呼出。如果错误,通话将被拒绝。 厦门朗视信息科技有限公司(www.yeastar.cn) 29/56 MyPBX 安全性配置向导 4.3 在 MyPBX 中关闭国际通话 我们可以向VoIP/PSTN/ISDN提供商求助,让他们提前限制国际通话的费用,如果不可行,我们可以 在MyPBX中配置一条规则,屏蔽掉所有的国际电话。以下是详细步骤: 步骤 1. 创建一条无效的 SIP 中继。 在“PBX中继VoIP 中继服务供应商”中创建一条无效的SIP中继。“域名/IP地址”中可以填入 一个无效的地址,比如127.0.0.1。 图 4-2 保存并应用。该中继的状态显然是UNREACHABLE的。这也正是我们想要的。 步骤 2. 为所有的分机和这条中继创建一条呼出路由,该路由用于国际通话。 点击“PBX呼出设置 呼出路由” ,创建一条新的路由: 路由名称:NoInternational 呼出模式: 00. <不要省略这里的点号> 删除前缀位数: 0 把所有的分机和前面设置的中继(Invalid_international)移动到右边的方框。 厦门朗视信息科技有限公司(www.yeastar.cn) 30/56 MyPBX 安全性配置向导 图 4-3 点击保存,之后点击页面左边的小箭头,将该规则置顶,最后点击页面右上角的按钮以使设置生效。 厦门朗视信息科技有限公司(www.yeastar.cn) 31/56 MyPBX 安全性配置向导 图 4-4 在配置完成后,所有的国际通话请求都将被路由到这条无效的中继上,并拒绝通话。 厦门朗视信息科技有限公司(www.yeastar.cn) 32/56 MyPBX 安全性配置向导 附录 A 怎样使用在 MyPBX 中的 TLS 1 IP 话机如何通过 TLS 注册到 MyPBX MyPBX作为SIP服务器,IP话机通过TLS注册到MyPBX的分机上。 1.1 在“SIP 设置”中启用 TLS 点击“PBXSIP 设置常规”可以查看TLS的相关设置,它默认是关闭的。 图 A-1 · TLS端口 默认的端口是5061,该端口用于SIP注册。 · 验证TLS服务器 MyPBX作为客户端时,是否验证服务器端证书。默认为“否”。 · 验证TLS客户端 MyPBX作为服务器时,是否验证客户端证书。默认为“否”。 · TLS忽略通用名 把该选项设置为“否” ,那么在证书合法性验证时“common name”必须跟IP或者域名一致。 · TLS客户端方法 指定 MyPBX 作为 TLS 客户端时所发起的 TLS 连接协议。你可以选择“tlsv1, sslv2 或 sslv3”中的 一种。 厦门朗视信息科技有限公司(www.yeastar.cn) 33/56 MyPBX 安全性配置向导 图 A-2 注意: 1. 出于安全考虑,我们建议开启“验证 TLS 客户端”并关闭“TLS 忽略通用名”,该设置可以让 MyPBX 验证 IP 话机的证书,并且在证书 CA 中的“common name”必须跟 IP 或者域名一致。 2. TLS 验证客户端方法:这是 IP 话机中 TLS 的方法;你可以联系 IP 话机的制造商来获取它的信息。 3. 在启用 TLS 后,需要重启 MyPBX 才能生效。 1.2 准备 TLS 的全部证书。 以下是 MyPBX 和 IP 话机用于 TLS 注册所使用的证书的截图: MyPBX 的客户端证书: CA.crt. MyPBX 的服务器端证书: asterisk.pem. IP 话机的客户端证书:CA.crt or CA.csr. IP 话机的服务器端证书: client.pem. 证书是通过 OpenSSL 工具包生成的,你可以编译从 http://www.openssl.org/下载的源文件,或者 使用以下将介绍的工具,下载链接: www.yeastar.com/download/tools/TLS_CA_Tool.rar 厦门朗视信息科技有限公司(www.yeastar.cn) 34/56 MyPBX 安全性配置向导 你可以在文件夹中发现以下文件: 图 A-3 Ca.bat: 用于为 IP 话机和 MyPBX 制作 CA.crt。 Client.bat: 用于制作“client.pem” ,它是 IP 话机的服务器端证书。 Server.bat: 用于制作“asterisk.pem”,它是 MyPBX 的服务器端证书。 以下是制作所有这些证书的步骤: 步骤 1. 准备 MyPBX 的客户端证书: CA.crt。 双击 ca.bat。 图 I-4 厦门朗视信息科技有限公司(www.yeastar.cn) 35/56 MyPBX 安全性配置向导 只需依据提示一步步输入 MyPBX 的相关信息。 在该例子中,MyPBX 的 IP 为:192.168.4.142。 图 A-5 厦门朗视信息科技有限公司(www.yeastar.cn) 36/56 MyPBX 安全性配置向导 图 A-6 该 ca.crt 跟目录/TLS_CA_Tool/ca/trusted/下的 ca.crt 文件是一样的。 图 A-7 MyPBX 的“受信任证书” :CA.crt 就这样制作好了。 步骤 2. 准备“asterisk.pem”,即 MyPBX 的服务器端证书。 我们需要使用 CA.crt 和 CA.key 来制作“asterisk.pem”。 双击“server.bat” 。 厦门朗视信息科技有限公司(www.yeastar.cn) 37/56 MyPBX 安全性配置向导 图 A-8 厦门朗视信息科技有限公司(www.yeastar.cn) 38/56 MyPBX 安全性配置向导 根据提示一步步输入相关信息,并确保你所输入的信息与步骤 1 中的一致。 图 A-9 厦门朗视信息科技有限公司(www.yeastar.cn) 39/56 MyPBX 安全性配置向导 检查所有的信息后输入“y”并回车。操作完成后,你会发现如下图所示的“asterisk.pem” 。 图 A-10 MyPBX 的服务器端证书: “asterisk.pem”制作完成了。 注意:在制作 IP 话机的证书前,我们需要把 asterisk.pem, ca.crt 复制到其他的文件夹。 图 A-11 步骤 3.准备 IP 话机的“受信任证书”:ca.crt。 双击“ca.bat” ,一步步输入 IP 话机的相关信息。 厦门朗视信息科技有限公司(www.yeastar.cn) 40/56 MyPBX 安全性配置向导 图 A-12 厦门朗视信息科技有限公司(www.yeastar.cn) 41/56 MyPBX 安全性配置向导 该例子中,IP 话机的 IP 地址为:192.168.4.71。 图 A-13 厦门朗视信息科技有限公司(www.yeastar.cn) 42/56 MyPBX 安全性配置向导 操作完成后,我们可以在文件夹中找到 ca.crt。 图 A-14 该 ca.crt 跟目录 /TLS_CA_Tool/ca/trusted 下的 ca.crt 文件是一样的。 图 A-15 IP 话机的客户端证书 ca.crt 制作完成了。 注意:如果你之前就有 IP 话机客户端证书,你可以把它重命名为“CA.crt”,并在制作“client.pem” 之前把它复制到“/TLS_CA_Tool/ca/trusted”目录下。 厦门朗视信息科技有限公司(www.yeastar.cn) 43/56 MyPBX 安全性配置向导 步骤 4. 准备 IP 话机的服务器端证书:client.pem。 双击“client.bat” 。 图 A-16 如图所示,将 IP 话机的配置一步步输入进去;确保所填的信息与步骤 3 的一致。 厦门朗视信息科技有限公司(www.yeastar.cn) 44/56 MyPBX 安全性配置向导 图 A-17 厦门朗视信息科技有限公司(www.yeastar.cn) 45/56 MyPBX 安全性配置向导 确定信息无误后,输如“y”完成操作。 图 A-18 IP 话机的服务器端证书就这样制作完成了。 注意:在上传前,我们需要将 client.pem 和 ca.crt 复制到其他的文件夹中。 图 A-19 这样,所有的证书都准备好了。 厦门朗视信息科技有限公司(www.yeastar.cn) 46/56 MyPBX 安全性配置向导 1.3 上传证书 1.3.1 上传 IP 话机需要使用到的证书 在该例子中,IP 话机的型号是亿联的 T28。 步骤 1. 上传“IP 话机的服务器端证书”(client.pem)。 点击“安全设置话机证书” 选择并上传证书 client.pem。 图 A-20 点击“浏览”选择证书“client.pem”后上传。在上传成功后 IP 话机将自动重启以使证书生效。 图 A-21 在 IP 话机重启之后,我们可以查看证书的状态。 厦门朗视信息科技有限公司(www.yeastar.cn) 47/56 MyPBX 安全性配置向导 图 A-22 步骤 2. 上传“受信任证书”。 该受信任证书指的是 MyPBX 的 ca.crt。在注册时它将被发送到 MyPBX 上用于认证。 点击“安全受信任证书”上传 MyPBX 的 ca.crt 证书。 图 A-23 厦门朗视信息科技有限公司(www.yeastar.cn) 48/56 MyPBX 安全性配置向导 图 A-24 如下图所示,当完成后,我们可以查看到 CA.crt 的内容。 图 A-25 这样,IP 话机端所需要的证书就都上传好了。 1.3.2 上传 MyPBX 的证书。 该例子中,MyPBX 的型号为 MyPBX U200(固件版本:15.19.0.23) 。 步骤 1. 上传 MyPBX 的服务器端证书 (asterisk.pem)。 厦门朗视信息科技有限公司(www.yeastar.cn) 49/56 MyPBX 安全性配置向导 点击“PBX->高级设置->证书” ,然后点击“上传证书” , “类型”选为“PBX 证书”,最后将 asterisk.pem 上传。 图 A-26 点击“保存”后即将证书上传到 MyPBX 中,此时还需重启设备才能使证书生效。 图 A-27 厦门朗视信息科技有限公司(www.yeastar.cn) 50/56 MyPBX 安全性配置向导 点击“重新启动” ,当重启完成后,我们就可以进入步骤 2 了。 图 A-28 步骤 2. 上传“受信任证书”。 MyPBX 中的“受信任证书”必须是 IP 话机的 ca.crt。 点击“上传证书” , “类型”选为“受信任证书” ,最后上传 IP 话机的 ca.crt。 图 A-29 点击“保存”后即将证书上传到 MyPBX 中,最后点击“应用所做的更改”以使配置生效。 厦门朗视信息科技有限公司(www.yeastar.cn) 51/56 MyPBX 安全性配置向导 图 A-30 MyPBX 端所需要的证书就都上传好了。 1.4 IP 话机通过 TLS 注册到 MyPBX 上。 在把 IP 话机注册到 MyPBX 之前,我们需要先在 MyPBX 上创建 SIP 分机,或者编辑一个已经存在的 分机。在该例子中,分机号码为 303。 我们需要在该页面将“协议”选为 TLS,最后保存并应用。 图 A-31 厦门朗视信息科技有限公司(www.yeastar.cn) 52/56 MyPBX 安全性配置向导 打开 IP 话机的配置页面,输入分机 303 的相关信息。 图 A-32 点击“提交” ,可以发现分机 303 已经成功通过 TLS 注册上了。 我们也可以在 MyPBX 上的“分机状态”中查看分机的状态。 图 A-33 如果注册存在问题,你可以在“报告系统日志抓包工具”下启动抓包程序,输入 IP 话机的 IP 地址, 选择对应的 NIC,之后点击“开始” 。此时再次试着注册 IP 话机,然后点击“停止”并下载所抓到的 包,最后使用 wireshark 分析。 厦门朗视信息科技有限公司(www.yeastar.cn) 53/56 MyPBX 安全性配置向导 图 A-34 厦门朗视信息科技有限公司(www.yeastar.cn) 54/56 MyPBX 安全性配置向导 2 如何通过 TLS 将 SIP 中继注册到 VoIP 提供商 如果提供商给你的 SIP 中继是使用 TLS 协议的,那么我们可以在 MyPBX 中配置相关信息,并将“协 议”选为 TLS,例子如下: VoIP 中继: 图 A-35 厦门朗视信息科技有限公司(www.yeastar.cn) 55/56 MyPBX 安全性配置向导 服务供应商(P-P): 图 A-36 如果通过 TLS 注册到服务提供商存在问题,你也可以运行“系统日志”页面中的抓包工具,并将抓到 的包发送给服务提供商或者我们分析。 [结束] 厦门朗视信息科技有限公司(www.yeastar.cn) 56/56
© Copyright 2025