A. Bảo mật cho tổng đài IP Grandstream UCM61xx và UCM6510

1. Cài đặt dial plan không cho gọi quốc tế

– Tại mục dial plan ta thiết lập không bấm được đầu 00 đi quốc tế như hình dưới qua các dial plan như sau:

– _Z. (Chú ý dấu gạch chân + chữ Z và dấu chấm cuối cùng)

– _X[12345689].

bao-mat-he-thong-tong-dai-ipbảo mật tổng đài ip

2. Cai đặt password máy lẻ tự động từ hệ thống

Password khong nên đặt dễ nhớ, nên để hệ thống tự sinh password gồm cả Chữ, Số, Ký tự Hoa và ký tự thường

bao-mat-he-thong-tong-dai-ipbảo mật tổng đài ip 1

3. Giới hạn giải địa chỉ IP được đăng ký tài khoản máy lẻ

– Giới hạn số máy lẻ chỉ được đăng ký ở địa chỉ IP nào hoặc giải mạng nào nhất định

bao-mat-he-thong-tong-dai-ipbảo mật tổng đài ip 2

4. Kích hoạt firewall khi đăng ký không thành công hệ thống sẽ tự động khóa lại

– Enable fail2Ban: Kích hoạt chế độ firewall

– Banned Duration (thời gian khóa là bao lâu, tính bằng giây)

– Max Retry Duration: Trong bao nhiêu giây khi đăng ký lỗi

– MaxRetry: Số lần đăng ký lỗi

Ghi chú: Với hình ảnh dưới ý nghĩa là: Nếu trong vòng 60 giây mà 1 ip nào đó đăng ký lỗi 5 lần thì sẽ bị khóa trong vòng 1800 giây (60 phút)

– Fail2ban Whitelist: Danh sách địa chỉ ip không bị chặn

bao-mat-he-thong-tong-dai-ipfirewall

B. Bảo mật cho tổng đài IP asterisk

1. Không mở gọi quốc tế nếu không có nhu cầu.

Nếu bạn không có nhu cầu gọi quốc tế thì cách tốt nhất tránh cước quốc tế phát sinh ở bất kỳ trường hợp nào thì bạn khóa gọi quốc tế tại phía nhà cung cấp đường truyền như: VNPT, Viettel…

2. Không open port và DMZ trên modem

Nếu các máy lẻ của tổng đài IP chỉ hoạt động trong nội bộ, không có nhu cầu đăng ký máy lẻ từ ngoài mạng vào hệ thống thì các bạn không mở port hoặc DMZ trên modem.

3. Sử dụng pass phức tạp và chỉ cho phép giải mạng điện thoại IP nào được đăng ký

bao-mat-he-thong-tong-dai-ipBảo mật máy lẻ

– Như hình vẽ trên password được đặt cả chữ hoa + chữ thường + ký tự đặc biệt + số -> Như vậy đảm bảo cho việc đăng ký dò pass từ ngoài vào là rất khó

– Permit: Tại máy lẻ này chỉ được phép đăng ký bởi giải mạng nội bộ trong hệ thống, không cho phép đăng ký từ ngoài vào.

4. Thiết lập firewall

Chi cho phép giải mạng nào được connect vào hệ thổng tổng đài, còn lại không cho connect vào hệ thống

5. Thiết lập VPN

Thiết lập VPN cho phép kết nối nhiều điểm nhiều chi nhánh với hệ thống mạng WAN riêng, đảm bảo cho hệ thống không bị nhòm ngó từ bên ngoài mạng vào hệ thông là giải pháp hữu hiệu tốt nhất

6. View log hệ thống

View log hệ thống cho phép bạn xem các truy cập bất thường từ IP nào ngoài mạng, từ đó có phương án ngăn chặn truy cập từ các IP đó hoặc các nguy cơ khác