MyPBX 安全性配置向导 厦门朗视信息科技有限公司 : V1.5

MyPBX 安全性配置向导
MyPBX 安全性配置向导
版本: V1.5
日期: 2014 年 5 月 5 日
厦门朗视信息科技有限公司
厦门朗视信息科技有限公司(www.yeastar.cn)
1/56
MyPBX 安全性配置向导
目录
介绍 .......................................................................................................................................................................3
安全中心 ...............................................................................................................................................................4
1 增强端口和密码的安全性 ..................................................................................................................................5
1.1 网页访问(HTTP)...................................................................................................................................... 5
1.1.1 修改默认的网页访问端口 ................................................................................................................... 5
1.1.2 修改默认密码 ...................................................................................................................................... 5
1.2 网页访问 (HTTPS)* ...................................................................................................................................... 5
1.3 分机 ............................................................................................................................................................. 6
1.3.1 修改 SIP 的默认端口 ............................................................................................................................ 6
1.3.2 分机随机密码* .................................................................................................................................... 6
1.3.3. IP 地址限制 ......................................................................................................................................... 7
1.3.4 分机注册认证* .................................................................................................................................... 7
1.3.5 远程分机的安全配置 ........................................................................................................................... 8
1.3.6 TLS 注册 (可选) .................................................................................................................................... 9
2 防火墙配置 ...................................................................................................................................................... 10
3 安全服务.......................................................................................................................................................... 20
3.1 关闭“匿名认证” ...................................................................................................................................... 20
3.2 SSH 安全 .................................................................................................................................................... 20
3.2.1 关闭 SSH............................................................................................................................................. 20
3.2.2 更改 SSH 的默认密码 ......................................................................................................................... 21
3.3 FTP 安全* ................................................................................................................................................... 22
3.4 AMI 设置.................................................................................................................................................... 23
3.5 TFTP ............................................................................................................................................................ 24
3.6 数据库授权 ............................................................................................................................................... 25
3.7 警报设置 ................................................................................................................................................... 26
3.7.1 IPATTACK .............................................................................................................................................. 26
3.7.2 WEBLOGIN ........................................................................................................................................... 27
4 国际通话限制 .................................................................................................................................................. 28
4.1 在提供商边限制通话费用 ......................................................................................................................... 28
4.2 为国际通话设置密码 ................................................................................................................................ 28
4.3 在 MYPBX 中关闭国际通话 ........................................................................................................................ 30
附录 A 怎样使用在 MYPBX 中的 TLS ................................................................................................................. 33
1 IP 话机如何通过 TLS 注册到 MYPBX ............................................................................................................. 33
2 如何通过 TLS 将 SIP 中继注册到 VOIP 提供商 ............................................................................................. 55
厦门朗视信息科技有限公司(www.yeastar.cn)
2/56
MyPBX 安全性配置向导
介绍
VoIP 攻击,虽然不是每天都会发生,但确实存在。因此在使用 VoIP 时,系统的安全性,显然是我们最
关心的问题之一。而使用适当的配置,加上一些基本的安全习惯,便可以提高电话系统安全性。
MyPBX 内置强大的防火墙功能,足以保障系统安全稳定运行。
而此文档将介绍 MyPBX 最高防御级别的防火墙以及其他安全项的配置,我们强烈建议您根据此文档进行
配置,以防系统被攻击盗打而造成系统故障或话费损失。
以下是关于 MyPBX 安全配置的简单逻辑:
1. 基础设置:加强网页和分机的密码,更改相应的端口。
2. 配置 MyPBX 内部的防火墙,添加防火墙规则的逻辑是把所有受信任的 IP 填入到“接收”动作的规则
中,并启用“拦截所有与以上规则不匹配的连接或数据包”来拒绝其他所有不受信任的 IP 访问。
3. 根据具体环境设置其他安全服务。
4. 根具体环境限制国际号码呼叫。
5. 通过 TLS 方式注册分机(可选)
。
出于安全考虑,第一和第二点是必须配置的。
注意:
1. 本文档适用于 MyPBX 所有设备型号除了 MyPBX Standard V1/V2/V3/V4/V5,MyPBX SOHO
V1/V2/V3 和 MyPBX E1。
2. 在本文档中,部分带*号的配置选项,表示仅 X.19.X.X 及以上的版本具备。
3. 出于安全考虑,我们建议把固件升级到最新的版本。
4. 不要把任何不需要使用的端口映射到路由器上。
5. 我们建议对使用 VoIP 外线拨打国际电话的金额做限制。
厦门朗视信息科技有限公司(www.yeastar.cn)
3/56
MyPBX 安全性配置向导
安全中心
“安全中心”页面包含了防火墙、服务、端口的安全设置,便于管理员管理 MyPBX 安全性配置。
点击“系统安全设置安全中心”来获得详细信息。你可以点击按钮修改对应配置。你可以根据本手
册一步步配置并在该页面查看结果。
1. 端口:
该页面显示了 SIP、HTTP 和 HTTPS 所使用的端口,我们可以点击“设置”来改变它。建议修改默认的端
口。
图 0-1
2. 服务:
该页面显示了如:AMI、SSH、FTP 和 TFTP 服务的基本信息,我们建议不需要这些服务的时候应关闭它
们。
注意:TFTP 用于话机的自动配置,默认开启,你可以在配置完所有话机后关闭它。
图 0-2
3. 防火墙:
在该页面将显示防火墙规则的基本信息。我们建议根据该手册的第二部分“防火墙设置”进行详细设置。
图 0-3
厦门朗视信息科技有限公司(www.yeastar.cn)
4/56
MyPBX 安全性配置向导
1 增强端口和密码的安全性
对于安全来说端口和密码是最重要的;我们建议把默认的配置修改为你想要的。
1.1 网页访问(HTTP)
1.1.1 修改默认的网页访问端口
路径:PBX基本设置 常规设定网页服务类型
图 1-1
例如我们可以把它改成 8080。
1.1.2 修改默认密码
路径:系统 系统参数密码设置
图 1-2
需要为所有的账户配置一个高强度的密码。特别是“admin”和“user”
。
1.2 网页访问 (HTTPS)*
HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的 HTTP
通道,简单讲是 HTTP 的安全版,用于安全的 HTTP 数据传输。用户可启用 HTTPS 端口,并更改默认端口,
保护 MyPBX 的网页访问,防止网页攻击。
路径:PBX基本设置 常规设定网页服务类型
图 1-3
厦门朗视信息科技有限公司(www.yeastar.cn)
5/56
MyPBX 安全性配置向导
HTTPS 启用之后,用户就可以通过 HTTPS 登录 MyPBX。
1.3 分机
黑客总是向 PBX 发送数据包来注册分机,并在这之后往外呼出。对于用户来说分机的安全性非常重要。
1.3.1 修改 SIP 的默认端口
路径:PBX高级设置SIP 设置常规UDP 端口
图 1-4
我们建议把它修改成其它可用的端口,比如:5080。
1.3.2 分机随机密码*
之前的版本,分机的默认密码均为“pincode+分机号码”。在 X.19.X.X 版本之后,新创建的分机,系统
将随机为分机分配强度系数较高的密码,包含了大小写字母和数字。
在这里,建议用户升级到最新版本,以获得此功能,加强分机的安全性。
图 1-5
注意:对于远程分机来说,系统会要求输入高强度的密码,包括大小写字母和数字。
厦门朗视信息科技有限公司(www.yeastar.cn)
6/56
MyPBX 安全性配置向导
1.3.3. IP 地址限制
路径:PBX分机FXS/VoIP 分机 VoIP 分机其他设置IP 地址限制
在完成配置后,只有所填的 IP 允许注册到该分机。其他所有的注册请求都将被拒绝。
格式为“IP 地址/子网掩码”
,例如 192.168.5.136/255.255.255.255。这样,只有 192.168.5.136 能注
册到分机 8004。
图 1-6
注意:如果该分机用于远程注册,那这里要填入静态公网 IP 地址。
1.3.4 分机注册认证*
“注册名字”项是用于分机的注册,它将使分机注册更加安全。用户如果输入错误的“注册
名字”
,即使此时输入的用户名和密码都正确,也不能成功注册分机。例如,我们在分机 300
中设置“注册名字”为 abcd,那么必须在软件电话或者 IP 话机中的“注册名字”填入 abcd。
我们建议用户设置“注册名字”
,增强分机注册的安全性。
厦门朗视信息科技有限公司(www.yeastar.cn)
7/56
MyPBX 安全性配置向导
图 1-7
图 1-8
1.3.5 远程分机的安全配置
路径:PBX分机FXS/VoIP 分机 VoIP 分机常规
如下图所示,启用“NAT”和“远程注册”
。
厦门朗视信息科技有限公司(www.yeastar.cn)
8/56
MyPBX 安全性配置向导
图 1-9
注意:
1. 如果不需要远程注册,请将其关闭。
2. 如果分机通过 WAN 口注册到 MyPBX,那么只需启用“远程注册”。
1.3.6 TLS 注册 (可选)
传输层安全 (TLS)和它的前身:安全套接字层 (SSL),是用于为跨网通信提供安全的加密协议。它们使
用非对称加密来交换认证密钥,使用对称加密和信息认证码来保证信息的完整性。协议的多个版本被广
泛用于比如:网页浏览、电子邮件、网络传真、即时信息和 VoIP。
MyPBX 支持使用 TLS 来为 SIP 注册提供安全;你也可以使用 TLS 把 SIP 外线注册到 VoIP 提供商。我们
必须同时上传证书到 MyPBX 和 IP 话机中,该证书用于授权。
黑客通常通过 UDP 发送注册请求到 PBX,如果在 MyPBX 中启用 TLS,黑客在没有 CA 证书的情况下不能注
册到分机,注册请求将被直接拒绝。
请参考附录 I 以便获取更多关于如何在 MyPBX 中使用 TLS 的信息。
注意:在 MyPBX 中 TLS 默认关闭;在使用前,我们需要到“SIP 设置”页面中的“高级设置”去启
用它。
厦门朗视信息科技有限公司(www.yeastar.cn)
9/56
MyPBX 安全性配置向导
2 防火墙配置
注意:请在配置防火墙之前先在“备份与还原”页面备份配置,并把备份文件下载到本地电脑上。在出
现防火墙配置错误导致无法访问服务器的情况下,可以重置服务器并导入之前的数据。
添加防火墙规则的逻辑是把所有受信任的 IP 填入到“接收”列表中,并启用“拦截所有与以上规则不
匹配的连接或数据包”来拒绝其他所有不受信任的 IP 访问。
步骤 1. 在 MyPBX 的“防火墙规则”页面中启用防火墙。
路径:系统安全设置  防火墙规则常规设定
图 2-1
步骤 2. 添加通用规则以允许本地网络接入。
创建一条通过规则,该规则用于允许所有的本地话机接入到 MyPBX 服务器。例如,本地 IP 地址段位
192.168.5.1-192.168.5.254,可以依据下图配置:
名称: LocalNetwork
协议: BOTH
端口: 1:65535
IP: 192.168.2.0/255.255.255.0, 格式必须是“IP/子网掩码”
。
动作: 接收
图 2-2
厦门朗视信息科技有限公司(www.yeastar.cn)
10/56
MyPBX 安全性配置向导
步骤 3.添加一条通用规则以允许所有的远程管理员、分机或者设备接入。
例如公网 IP 是 110.30.25.152,我们可以为其开放所有的端口。
名称: Remote
协议: BOTH
端口: 1:65535
IP: 110.30.25.152/255.255.255.255
动作: 接收
图 2-3
注意:需要在这里配置静态公网 IP 地址段,如果它是一个动态 IP 地址,并且不固定在一个范围内,那
么没有必要在此处配置它,但是在下个步骤中不能启用“拦截所有与以下规则不匹配的连接或数据包”。
“IP 黑名单”里的“黑名单规则”将帮助保护 MyPBX。出于安全考虑,我们建议尽可能的获取准确的
静态公网 IP 地址。
步骤 4.添加一条通用规则以允许 VoIP 提供商的静态公网 IP 地址段接入。
用于连接 SIP 提供商的默认端口是 5060 和 10000-12000,如果你已经修改了端口号,可以在此处将其
填入。
IP 地址为 110.111.132.6,那么需要配置两个端口,一个是 5060,另外一个是用于传输 RTP 的端口:
10000-12000。
允许注册端口:5060。
名称: SIP
协议: UDP
端口: 5060:5060
IP:110.111.132.6/255.255.255.255
动作: 接收
厦门朗视信息科技有限公司(www.yeastar.cn)
11/56
MyPBX 安全性配置向导
图 2-4
允许所有 RTP 端口:
名称: RTP
协议: UDP
端口: 10000:12000
IP: 110.111.132.6/255.255.255.255
动作: 接入
图 2-5
注意:如果 SIP 提供商的服务器 IP 地址是动态的,并且我们无法获得准确的 IP 地址段,那么我们可
以允许接收所有的 IP 地址段的 RTP 信息。如下所示:
名称: RTP_ALL
协议: UDP
厦门朗视信息科技有限公司(www.yeastar.cn)
12/56
MyPBX 安全性配置向导
端口: 10000:12000
IP: 0.0.0.0/0.0.0.0
动作: 接收
图 2-6
使用这种配置,MyPBX 可以避免“单通”问题。
步骤 5.拦截其它不在“接收”列表中的 IP 地址,禁止访问网页端口。
图 2-7
注意:许多攻击是通过网页接入引起的,我们强烈建议拦截不受信任的 IP,禁止访问网页端口。
步骤 6. 添加通用规则以允许如:NTP、SMTP、POP 和 STUN 服务器等的静态公网 IP 的数据包
通过。
我们建议在 NTP,SMTP 和 POP 服务器的 IP 地址是静态的或者属于某个网段的情况下,为它们打开所有
厦门朗视信息科技有限公司(www.yeastar.cn)
13/56
MyPBX 安全性配置向导
的端口。如果是动态的,则不需要配置它们,但是 IP 黑名单规则必须设置,并且“拦截所有与以下规
则不匹配的连接或数据包” 不能启用。
例如 SMTP 服务器的 IP 地址为 110.30.1.123。
名称: Allow_SMTP
协议: BOTH
端口: 1:65535
IP: 110.30.1.123/255.255.255.255
动作: 接收
图 2-8
例如 POP 服务器的 IP 地址为 218.85.65.150。
名称: Allow_POP
协议: BOTH
端口: 1:65535
IP: 218.85.65.150/255.255.255.255
动作:接收
厦门朗视信息科技有限公司(www.yeastar.cn)
14/56
MyPBX 安全性配置向导
图 2-9
例如 NTP 服务器的 IP 地址为 202.120.2.101。
名称: Allow_NTP
协议: BOTH
端口: 1:65535
IP: 202.120.2.101/255.255.255.255
动作: 接收
图 2-10
例如 STUN 服务器的 IP 地址为 218.85.148.250。
名称: Allow_STUN
协议: BOTH
厦门朗视信息科技有限公司(www.yeastar.cn)
15/56
MyPBX 安全性配置向导
端口: 1:65535
IP: 218.85.148.250/255.255.255.255
动作: 接收
图 2-11
步骤 7. 配置“黑名单规则”
。
黑名单规则:如果某设备发包的数量超过你设置的阀值,那么 MyPBX 将自动将其列入到黑名单中。
注意:MyPBX 默认创建 3 条规则,我们建议保持默认的数值。
1) 为端口:5060 添加“黑名单规则”。
规则 1:
端口: 5060
协议: UDP
IP 数据包: 120
时间间隔: 60 秒
图 2-12
规则 2:
端口: 5060
协议: UDP
IP 数据包: 40
厦门朗视信息科技有限公司(www.yeastar.cn)
16/56
MyPBX 安全性配置向导
时间间隔: 2 秒
图 2-13
2) 为端口:8022 添加“黑名单规则”。
规则 3:
端口: 8022
协议: TCP
IP 数据包: 5
时间间隔: 60 秒
图 2-14
步骤 8. 开启“拦截所有与以下规则不匹配的连接或数据包”
(如果该功能被启用,那么所有不匹配“接
收”列表的数据包和连接都将被拒绝)
。
警告:在开启该功能前,请先创建一条规则以允许本地网络的连接,否则可能连接不到 MyPBX 上。
厦门朗视信息科技有限公司(www.yeastar.cn)
17/56
MyPBX 安全性配置向导
图 2-15
注意:
1. 在启用“拦截所有与以下规则不匹配的连接或数据包”后,“自动防御规则”和“IP 黑名单”都将
失效。这意味着除了在“接收”规则中的数据包和连接,其他的都将被拒绝。
2. 如果“拦截所有与以下规则不匹配的连接或数据包”没被启用,那么请不要移除“黑名单规则”
,以
免系统存在安全漏洞。
步骤 9.防火墙的配置已经完成,请看下图:
厦门朗视信息科技有限公司(www.yeastar.cn)
18/56
MyPBX 安全性配置向导
图 2-16
图 2-17
厦门朗视信息科技有限公司(www.yeastar.cn)
19/56
MyPBX 安全性配置向导
3 安全服务
3.1 关闭“匿名认证”
匿名呼叫:通过 IP 注册攻击的,是没有用户名的,如果不关闭匿名呼叫,则允许该非法用户拨打内部
分机。
路径:PBX高级设置SIP 设置高级设置匿名认证
图 3-1
注意:“匿名认证”默认是关闭的;请在不使用的情况下保持“否”。
3.2 SSH 安全
3.2.1 关闭 SSH
路径:系统网络参数LAN 设置启用 SSH
如果不需要调试 MyPBX,请选择“否”
。
图 3-2
厦门朗视信息科技有限公司(www.yeastar.cn)
20/56
MyPBX 安全性配置向导
注意:SSH 接入默认是关闭的;请在不需要的时候保持选择“否”
。
3.2.2 更改 SSH 的默认密码
我们可以使用 Linux 的“passwd”命令修改 MyPBX 的 root 密码。
1. 通过 putty.exe 软件登录。
图 3-3
2. 默认登录用户名为:root,默认密码为:ys123456。
厦门朗视信息科技有限公司(www.yeastar.cn)
21/56
MyPBX 安全性配置向导
图 3-4
3. 使用 passwd 命令更改 root 的密码。
图 3-5
你必须输入两次新密码才能使其生效。
3.3 FTP 安全*
路径:系统网络参数LAN 设置启用 FTP
厦门朗视信息科技有限公司(www.yeastar.cn)
22/56
MyPBX 安全性配置向导
如果不需要通过 FTP 登录 MyPBX,请选择“否”。
图 3-2
注意:FTP 接入默认是关闭的;请在不需要的时候保持选择“否”
。
3.4 AMI 设置
MyPBX 开发接口允许客户端程序以 TCP/IP 方式连接服务端程序,客户端程序可以发起一个连接到服
务端。连接成功后,客户端可以通过 TCP/IP 流发起命令或读取各类事件、响应实现所需功能。
获取更多信息,请参考以下链接:
http://www.voip-info.org/wiki/view/Asterisk+manager+API
路径:系统安全设置AMI 设置
如上图所示,我们可以直接在“AMI 设置”页面配置账号信息和接入 IP 地址,以便管理接入 AMI 的
账号。
图 3-6
注意:该功能默认是关闭的;通常情况下不需要启用。如果启用了,请更改默认的账户信息并配置“IP
地址限制”。
例如,用户想设置的 AMI 账号为:
用户名: Developer
密码: Developer
唯一允许登录的 IP 为 192.168.1.71
可以如下所示操作:
厦门朗视信息科技有限公司(www.yeastar.cn)
23/56
MyPBX 安全性配置向导
图 3-7
保存并应用以使配置生效。
想确认更多信息,请使用命令“cat /etc/asterisk/manager.conf”查看。
图 3-8
3.5 TFTP
在使用“话机配置”时,MyPBX 可以作为 TFTP 服务器使用,并且该功能默认开启。在所有的话机都
配置完后,你可以将其关闭以便保护 MyPBX 中的配置文件。
点击“系统安全设置安全中心服务”
,可以在该页面直接关闭。
厦门朗视信息科技有限公司(www.yeastar.cn)
24/56
MyPBX 安全性配置向导
图 3-9
3.6 数据库授权
在 MyPBX 的 x.18.0.xx 以上版本中集成了 MySQL,它方便用户管理通话记录和录音日志。为了保证
数据库接入的安全性,我们需要先创建用户名和密码才能登录。
默认没有配置账户,如果你需要使用第三方软件连接到数据库,你需要先创建一个账户。
例如,用户名: Harry,密码:Harry123。
图 3-10
保存并应用以使配置生效。
图 3-11
当使用其他软件登录到数据库,我们可以查看通话记录。
厦门朗视信息科技有限公司(www.yeastar.cn)
25/56
MyPBX 安全性配置向导
图 3-12
3.7 警报设置
在启用警报设置后,如果设备遭到攻击,系统将通过电话或者电子邮件通知用户。攻击类型包括
“IPATTACK”和“WEBLOGIN”
。
3.7.1 IPATTACK
当系统设置了防火墙且受到 IP 攻击时,防火墙会将把攻击源地址加入“IP 黑名单”列表,若启用警报
设置,则有 IP 被加入黑名单时自动报警。
例 如 : 配 置 当 系 统 受 到 IP 攻 击 时 , 电 话 通 知 内 部 分 机 500 和 外 线 号 码 5503301 ; 邮 件 通 知
[email protected]。
配置如下:
电话通知设置:
电话通知: 是
号码: 500;5503301
尝试次数: 1
时间间隔: 60 秒
提示音: default
注意:电话通知号码如果为外线号码,所填的号码需匹配任一呼出路由的呼出模式。
电子邮件通知设置:
电子邮件通知: 是
收件人: [email protected]
主题: IPAttack
厦门朗视信息科技有限公司(www.yeastar.cn)
26/56
MyPBX 安全性配置向导
图 3-13
3.7.2 WEBLOGIN
当连续输入5次错误密码登陆MyPBX,将会视为网页攻击,系统将自动限制该IP十分钟内禁止登陆。若
启用警报功能则通知用户。此设置针对所有的账号登录,包括admin, user, cdr,分机账号及插件登
录。
例 如 : 配 置 当 系 统 受 到 IP 攻 击 时 , 电 话 通 知 内 部 分 机 500 和 外 线 号 码 5503301 ; 邮 件 通 知
[email protected]
配置如下:
电话通知设置:
电话通知: 是
号码: 500;5503301
尝试次数: 1
时间间隔: 60 秒
提示音: default
注意:电话通知号码如果为外线号码,所填的号码需匹配任一呼出路由的呼出模式。
电子邮件通知设置:
电子邮件通知: 是
收件人: [email protected]
主题:WebLogin
厦门朗视信息科技有限公司(www.yeastar.cn)
27/56
MyPBX 安全性配置向导
图 3-14
4 国际通话限制
4.1 在提供商边限制通话费用
我们可以向VoIP/PSTN/ISDN提供商协商,让他们提前限制国际通话的费用,这样黑客将不能拨打国
际电话。如果用户不需要打国际号码,那么可以要求提供商关闭国际通话服务。
4.2 为国际通话设置密码
MyPBX也可以为呼出路由设置密码;点击“PBX呼出设置 呼出路由”。
例如,你想使用的密码为:5503333
呼出模式:00. <不要省略这里的点号>
密码:5503333
如图所示,选择允许拨出电话的分机和中继到右边的方框:
厦门朗视信息科技有限公司(www.yeastar.cn)
28/56
MyPBX 安全性配置向导
图 4-1
保存并应用后,当500和501分机摘机并拨打国际号码,MyPBX将询问密码,如果密码正确,通话将
正常呼出。如果错误,通话将被拒绝。
厦门朗视信息科技有限公司(www.yeastar.cn)
29/56
MyPBX 安全性配置向导
4.3 在 MyPBX 中关闭国际通话
我们可以向VoIP/PSTN/ISDN提供商求助,让他们提前限制国际通话的费用,如果不可行,我们可以
在MyPBX中配置一条规则,屏蔽掉所有的国际电话。以下是详细步骤:
步骤 1. 创建一条无效的 SIP 中继。
在“PBX中继VoIP 中继服务供应商”中创建一条无效的SIP中继。“域名/IP地址”中可以填入
一个无效的地址,比如127.0.0.1。
图 4-2
保存并应用。该中继的状态显然是UNREACHABLE的。这也正是我们想要的。
步骤 2. 为所有的分机和这条中继创建一条呼出路由,该路由用于国际通话。
点击“PBX呼出设置 呼出路由”
,创建一条新的路由:
路由名称:NoInternational
呼出模式: 00. <不要省略这里的点号>
删除前缀位数: 0
把所有的分机和前面设置的中继(Invalid_international)移动到右边的方框。
厦门朗视信息科技有限公司(www.yeastar.cn)
30/56
MyPBX 安全性配置向导
图 4-3
点击保存,之后点击页面左边的小箭头,将该规则置顶,最后点击页面右上角的按钮以使设置生效。
厦门朗视信息科技有限公司(www.yeastar.cn)
31/56
MyPBX 安全性配置向导
图 4-4
在配置完成后,所有的国际通话请求都将被路由到这条无效的中继上,并拒绝通话。
厦门朗视信息科技有限公司(www.yeastar.cn)
32/56
MyPBX 安全性配置向导
附录 A 怎样使用在 MyPBX 中的 TLS
1 IP 话机如何通过 TLS 注册到 MyPBX
MyPBX作为SIP服务器,IP话机通过TLS注册到MyPBX的分机上。
1.1 在“SIP 设置”中启用 TLS
点击“PBXSIP 设置常规”可以查看TLS的相关设置,它默认是关闭的。
图 A-1
·
TLS端口
默认的端口是5061,该端口用于SIP注册。
·
验证TLS服务器
MyPBX作为客户端时,是否验证服务器端证书。默认为“否”。
·
验证TLS客户端
MyPBX作为服务器时,是否验证客户端证书。默认为“否”。
·
TLS忽略通用名
把该选项设置为“否”
,那么在证书合法性验证时“common name”必须跟IP或者域名一致。
·
TLS客户端方法
指定 MyPBX 作为 TLS 客户端时所发起的 TLS 连接协议。你可以选择“tlsv1, sslv2 或 sslv3”中的
一种。
厦门朗视信息科技有限公司(www.yeastar.cn)
33/56
MyPBX 安全性配置向导
图 A-2
注意:
1. 出于安全考虑,我们建议开启“验证 TLS 客户端”并关闭“TLS 忽略通用名”,该设置可以让 MyPBX
验证 IP 话机的证书,并且在证书 CA 中的“common name”必须跟 IP 或者域名一致。
2. TLS 验证客户端方法:这是 IP 话机中 TLS 的方法;你可以联系 IP 话机的制造商来获取它的信息。
3. 在启用 TLS 后,需要重启 MyPBX 才能生效。
1.2 准备 TLS 的全部证书。
以下是 MyPBX 和 IP 话机用于 TLS 注册所使用的证书的截图:
MyPBX 的客户端证书: CA.crt.
MyPBX 的服务器端证书: asterisk.pem.
IP 话机的客户端证书:CA.crt or CA.csr.
IP 话机的服务器端证书: client.pem.
证书是通过 OpenSSL 工具包生成的,你可以编译从 http://www.openssl.org/下载的源文件,或者
使用以下将介绍的工具,下载链接:
www.yeastar.com/download/tools/TLS_CA_Tool.rar
厦门朗视信息科技有限公司(www.yeastar.cn)
34/56
MyPBX 安全性配置向导
你可以在文件夹中发现以下文件:
图 A-3
Ca.bat: 用于为 IP 话机和 MyPBX 制作 CA.crt。
Client.bat: 用于制作“client.pem”
,它是 IP 话机的服务器端证书。
Server.bat: 用于制作“asterisk.pem”,它是 MyPBX 的服务器端证书。
以下是制作所有这些证书的步骤:
步骤 1. 准备 MyPBX 的客户端证书: CA.crt。
双击 ca.bat。
图 I-4
厦门朗视信息科技有限公司(www.yeastar.cn)
35/56
MyPBX 安全性配置向导
只需依据提示一步步输入 MyPBX 的相关信息。
在该例子中,MyPBX 的 IP 为:192.168.4.142。
图 A-5
厦门朗视信息科技有限公司(www.yeastar.cn)
36/56
MyPBX 安全性配置向导
图 A-6
该 ca.crt 跟目录/TLS_CA_Tool/ca/trusted/下的 ca.crt 文件是一样的。
图 A-7
MyPBX 的“受信任证书”
:CA.crt 就这样制作好了。
步骤 2. 准备“asterisk.pem”,即 MyPBX 的服务器端证书。
我们需要使用 CA.crt 和 CA.key 来制作“asterisk.pem”。
双击“server.bat”
。
厦门朗视信息科技有限公司(www.yeastar.cn)
37/56
MyPBX 安全性配置向导
图 A-8
厦门朗视信息科技有限公司(www.yeastar.cn)
38/56
MyPBX 安全性配置向导
根据提示一步步输入相关信息,并确保你所输入的信息与步骤 1 中的一致。
图 A-9
厦门朗视信息科技有限公司(www.yeastar.cn)
39/56
MyPBX 安全性配置向导
检查所有的信息后输入“y”并回车。操作完成后,你会发现如下图所示的“asterisk.pem”
。
图 A-10
MyPBX 的服务器端证书:
“asterisk.pem”制作完成了。
注意:在制作 IP 话机的证书前,我们需要把 asterisk.pem, ca.crt 复制到其他的文件夹。
图 A-11
步骤 3.准备 IP 话机的“受信任证书”:ca.crt。
双击“ca.bat”
,一步步输入 IP 话机的相关信息。
厦门朗视信息科技有限公司(www.yeastar.cn)
40/56
MyPBX 安全性配置向导
图 A-12
厦门朗视信息科技有限公司(www.yeastar.cn)
41/56
MyPBX 安全性配置向导
该例子中,IP 话机的 IP 地址为:192.168.4.71。
图 A-13
厦门朗视信息科技有限公司(www.yeastar.cn)
42/56
MyPBX 安全性配置向导
操作完成后,我们可以在文件夹中找到 ca.crt。
图 A-14
该 ca.crt 跟目录 /TLS_CA_Tool/ca/trusted 下的 ca.crt 文件是一样的。
图 A-15
IP 话机的客户端证书 ca.crt 制作完成了。
注意:如果你之前就有 IP 话机客户端证书,你可以把它重命名为“CA.crt”,并在制作“client.pem”
之前把它复制到“/TLS_CA_Tool/ca/trusted”目录下。
厦门朗视信息科技有限公司(www.yeastar.cn)
43/56
MyPBX 安全性配置向导
步骤 4. 准备 IP 话机的服务器端证书:client.pem。
双击“client.bat”
。
图 A-16
如图所示,将 IP 话机的配置一步步输入进去;确保所填的信息与步骤 3 的一致。
厦门朗视信息科技有限公司(www.yeastar.cn)
44/56
MyPBX 安全性配置向导
图 A-17
厦门朗视信息科技有限公司(www.yeastar.cn)
45/56
MyPBX 安全性配置向导
确定信息无误后,输如“y”完成操作。
图 A-18
IP 话机的服务器端证书就这样制作完成了。
注意:在上传前,我们需要将 client.pem 和 ca.crt 复制到其他的文件夹中。
图 A-19
这样,所有的证书都准备好了。
厦门朗视信息科技有限公司(www.yeastar.cn)
46/56
MyPBX 安全性配置向导
1.3 上传证书
1.3.1 上传 IP 话机需要使用到的证书
在该例子中,IP 话机的型号是亿联的 T28。
步骤 1. 上传“IP 话机的服务器端证书”(client.pem)。
点击“安全设置话机证书” 选择并上传证书 client.pem。
图 A-20
点击“浏览”选择证书“client.pem”后上传。在上传成功后 IP 话机将自动重启以使证书生效。
图 A-21
在 IP 话机重启之后,我们可以查看证书的状态。
厦门朗视信息科技有限公司(www.yeastar.cn)
47/56
MyPBX 安全性配置向导
图 A-22
步骤 2. 上传“受信任证书”。
该受信任证书指的是 MyPBX 的 ca.crt。在注册时它将被发送到 MyPBX 上用于认证。
点击“安全受信任证书”上传 MyPBX 的 ca.crt 证书。
图 A-23
厦门朗视信息科技有限公司(www.yeastar.cn)
48/56
MyPBX 安全性配置向导
图 A-24
如下图所示,当完成后,我们可以查看到 CA.crt 的内容。
图 A-25
这样,IP 话机端所需要的证书就都上传好了。
1.3.2 上传 MyPBX 的证书。
该例子中,MyPBX 的型号为 MyPBX U200(固件版本:15.19.0.23)
。
步骤 1. 上传 MyPBX 的服务器端证书 (asterisk.pem)。
厦门朗视信息科技有限公司(www.yeastar.cn)
49/56
MyPBX 安全性配置向导
点击“PBX->高级设置->证书”
,然后点击“上传证书”
,
“类型”选为“PBX 证书”,最后将 asterisk.pem
上传。
图 A-26
点击“保存”后即将证书上传到 MyPBX 中,此时还需重启设备才能使证书生效。
图 A-27
厦门朗视信息科技有限公司(www.yeastar.cn)
50/56
MyPBX 安全性配置向导
点击“重新启动”
,当重启完成后,我们就可以进入步骤 2 了。
图 A-28
步骤 2. 上传“受信任证书”。
MyPBX 中的“受信任证书”必须是 IP 话机的 ca.crt。
点击“上传证书”
,
“类型”选为“受信任证书”
,最后上传 IP 话机的 ca.crt。
图 A-29
点击“保存”后即将证书上传到 MyPBX 中,最后点击“应用所做的更改”以使配置生效。
厦门朗视信息科技有限公司(www.yeastar.cn)
51/56
MyPBX 安全性配置向导
图 A-30
MyPBX 端所需要的证书就都上传好了。
1.4 IP 话机通过 TLS 注册到 MyPBX 上。
在把 IP 话机注册到 MyPBX 之前,我们需要先在 MyPBX 上创建 SIP 分机,或者编辑一个已经存在的
分机。在该例子中,分机号码为 303。
我们需要在该页面将“协议”选为 TLS,最后保存并应用。
图 A-31
厦门朗视信息科技有限公司(www.yeastar.cn)
52/56
MyPBX 安全性配置向导
打开 IP 话机的配置页面,输入分机 303 的相关信息。
图 A-32
点击“提交”
,可以发现分机 303 已经成功通过 TLS 注册上了。
我们也可以在 MyPBX 上的“分机状态”中查看分机的状态。
图 A-33
如果注册存在问题,你可以在“报告系统日志抓包工具”下启动抓包程序,输入 IP 话机的 IP 地址,
选择对应的 NIC,之后点击“开始”
。此时再次试着注册 IP 话机,然后点击“停止”并下载所抓到的
包,最后使用 wireshark 分析。
厦门朗视信息科技有限公司(www.yeastar.cn)
53/56
MyPBX 安全性配置向导
图 A-34
厦门朗视信息科技有限公司(www.yeastar.cn)
54/56
MyPBX 安全性配置向导
2 如何通过 TLS 将 SIP 中继注册到 VoIP 提供商
如果提供商给你的 SIP 中继是使用 TLS 协议的,那么我们可以在 MyPBX 中配置相关信息,并将“协
议”选为 TLS,例子如下:
VoIP 中继:
图 A-35
厦门朗视信息科技有限公司(www.yeastar.cn)
55/56
MyPBX 安全性配置向导
服务供应商(P-P):
图 A-36
如果通过 TLS 注册到服务提供商存在问题,你也可以运行“系统日志”页面中的抓包工具,并将抓到
的包发送给服务提供商或者我们分析。
[结束]
厦门朗视信息科技有限公司(www.yeastar.cn)
56/56