...
При установке и настройке офисных АТС и IP-АТС следует уделить внимание настройкам безопасности – организации доступа к управлению и мониторингу АТС, а также безопасности обработки вызовов. Также следует уделить внимание резервному копированию конфигурации. Организация доступа подразумевает:
- смену стандартных паролей на WEB и CLI;
- создание ограниченных учётных записей для отдельных видов настроек и мониторинга;
- настройку ограничений IP-адресов и/или подсетей, с которых может производиться конфигурирование и мониторинг;
- настройку статического брандмауэра, ограничивающих ограничивающего доступ к интерфейсам сигнализации и управления только доверенными узлами;
- настройку динамического брандмауэра, что позволит в автоматическом режиме отсечь нежелательные попытки доступа для общедоступных интерфейсов;
- настройку маршрутизации вызовов с учётом того, что с общедоступного интерфейса могут приходить нежелательные звонки.
...
Создание ограниченных учётных записей для WEB производится через меню «Пользователи: Управление».
- В блоке «Пользователи веб-интерфейса» нажать «Добавить»;
- Задать имя и пароль пользователя;
- Выбрать разрешения доступа.
...
Статический брандмауэр служит для ограничения доступа к сетевым интерфейсам по списку заранее заданных правил. Настройка производится в меню «Безопасность» -> «Статический брандмауэр».
...
Динамический брандмауэр служит для ограничения доступа к сетевым интерфейсам на основе анализа запросов к различным сервисам. При обнаружении повторяющихся неудачных попыток обращения к сервису с одного и того же IP-адреса динамический брандмауэр производит его временную блокировку. Если адрес попадает во временную блокировку несколько раз, он блокируется постоянно в чёрном списке адресов. Настройка производится в меню «Безопасность» -> «Динамический брандмауэр».
...
Описанные в этом руководстве методики настройки соединения с городской АТС упрощены с целью сократить их описание. Однако это может повлечь за собой проблему отработки фродовых вызовов. Например, описание подключения городских транков подразумевает, что SIP-абоненты и городские транки во-первых, находятся в одном плане нумерации. Во-вторых, план нумерации предельно прост и проверяет только Б-номера. Что Это позволяет, например, сделать вызов извне на городской транк с Б-номером дорогого направления и тем самым совершить звонок за счёт компании. С одной стороны, опасность этого нивелируется тем, что транк соединён с городской АТС, откуда подобные вызовы поступать не могут. С другой стороны, нельзя исключать возможность взлома городской АТС или ошибки в настройках маршрутизации вызовов на ней.
Настройка проверки при маршрутизации как Б-, так и А-номера в данном случае помочь не может, поскольку одновременное указание масок CgPN и CdPN в префиксе отрабатывает отрабатывается по правилу ИЛИ - — префикс считается найденным, если подходит номер CgPN или номер CdPN. Поэтому настоятельно рекомендуется комбинировать настройки подключения к городской АТС вместе с настройками маршрутизации, описанными в разделах «Настройка ограничений связи для абонентов» и «Разделение входящей и исходящей связи планами нумерации».