При установке и настройке офисных АТС и IP-АТС следует уделить внимание настройкам безопасности – организации доступа к управлению и мониторингу АТС, а также безопасности обработки вызовов. Также следует уделить внимание резервному копированию конфигурации. Организация доступа подразумевает:

• смену стандартных паролей на WEB и CLI;
• создание ограниченных учётных записей для отдельных видов настроек и мониторинга;
• настройку ограничений IP-адресов и/или подсетей, с которых может производиться конфигурирование и мониторинг;
• настройку статического брандмауэра, ограничивающего доступ к интерфейсам сигнализации и управления только доверенными узлами;
• настройку динамического брандмауэра, что позволит в автоматическом режиме отсечь нежелательные попытки доступа для общедоступных интерфейсов;
• настройку маршрутизации вызовов с учётом того, что с общедоступного интерфейса могут приходить нежелательные звонки.

Смена паролей на WEB и CLI

Смена паролей производится через меню «Пользователи: Управление».

Смена пароля WEB для учётной записи admin производится в блоке «Установить пароль администратора веб-интерфейса».

Смена пароля CLI для учётной записи admin производится в блоке «Установить пароль администратора для telnet и ssh».

Создание ограниченных учётных записей

Создание ограниченных учётных записей для WEB производится через меню «Пользователи: Управление».

• В блоке «Пользователи веб-интерфейса» нажать «Добавить»;
• Задать имя и пароль пользователя;
• Выбрать разрешения доступа.

Для CLI создание ограниченных учётных записей не поддерживается.

Ограничение доступа к интерфейсам сигнализации и управления

Настройка ограничений производится в меню «Настройки ICP/IP» -> «Сетевые интерфейсы».

• Зайти в настройки сетевого интерфейса.
• В блоке «Сервисы» отключить все неиспользуемые на интерфейсе протоколы управления и сигнализации.

Настройка статического брандмауэра

Статический брандмауэр служит для ограничения доступа к сетевым интерфейсам по списку заранее заданных правил. Настройка производится в меню «Безопасность» -> «Статический брандмауэр».

• Зайти в настройки брандмауэра;
• Создать профиль брандмауэра, нажав кнопку «Добавить»;
• Задать имя профиля, нажать «Далее»;
• Задать правила фильтрации для входящего и исходящего трафика. При этом надо помнить, что если входящий или исходящий пакет не попал ни под одно правило фильтрации, то для него применяется действие «Accept» (разрешить прохождение пакета). Поэтому, если требуется разрешить доступ лишь некоторым узлам и запретить всем прочим, то необходимо конфигурировать профиль брандмауэра так, чтобы последним правилом было правило с типом источника и назначение «Любое» и действием «Reject» или «Drop» (отбросить пакет с уведомлением по ICMP или отбросить без уведомления);
• В блоке «Интерфейс» выбрать сетевые интерфейсы, для которых будет применяться фильтрация;
• Нажать кнопку «Сохранить», расположенную под списком интерфейсов;
• Нажать кнопку «Применить», расположенную вверху страницы;
• Нажать кнопку «Сохранить», расположенную над таблицами фильтров.

Настройка динамического брандмауэра

Динамический брандмауэр служит для ограничения доступа к сетевым интерфейсам на основе анализа запросов к различным сервисам. При обнаружении повторяющихся неудачных попыток обращения к сервису с одного и того же IP-адреса динамический брандмауэр производит его временную блокировку. Если адрес попадает во временную блокировку несколько раз, он блокируется постоянно в чёрном списке адресов. Настройка производится в меню «Безопасность» -> «Динамический брандмауэр».

• Зайти в настройки брандмауэра;
• Внести в белый список адреса доверенных узлов и подсетей;
• Поставить флажок «Включить»;
• Нажать кнопку «Применить».

Замечание по настройке маршрутизации вызовов

Описанные в этом руководстве методики настройки соединения с городской АТС упрощены с целью сократить их описание. Однако это может повлечь за собой проблему отработки фродовых вызовов. Например, описание подключения городских транков подразумевает, что SIP-абоненты и городские транки во-первых, находятся в одном плане нумерации. Во-вторых, план нумерации предельно прост и проверяет только Б-номера. Это позволяет, например, сделать вызов извне на городской транк с Б-номером дорогого направления и тем самым совершить звонок за счёт компании. С одной стороны, опасность этого нивелируется тем, что транк соединён с городской АТС, откуда подобные вызовы поступать не могут. С другой стороны, нельзя исключать возможность взлома городской АТС или ошибки в настройках маршрутизации вызовов на ней.

Настройка проверки при маршрутизации как Б-, так и А-номера в данном случае помочь не может, поскольку одновременное указание масок CgPN и CdPN в префиксе отрабатывается по правилу ИЛИ — префикс считается найденным, если подходит номер CgPN или номер CdPN. Поэтому настоятельно рекомендуется комбинировать настройки подключения к городской АТС вместе с настройками маршрутизации, описанными в разделах «Настройка ограничений связи для абонентов» и «Разделение входящей и исходящей связи планами нумерации».