MyPBX Säkerhetskonfiguration (Svenska)

Relevanta dokument
Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Innehåll. Dokumentet gäller från och med version

Startanvisning för Bornets Internet

Konfigurering av eduroam

Telia Connect för Windows

Compose Connect. Hosted Exchange

Innehållsförteckning:

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual.

Start av Trådlösradio. Modellerna WGR614, WGT624 och WPN824.

SpeedTouch 190. Installations- och användarguide. SIP-gateway. Version R1.0

Advoco NetPBX. Konfiguration av Yealink SIP IP-telefoner

Manual - Storegate Team

Ladda upp filer fra n PLC till PC

MANUAL CELLIP SOFTPHONE

Steg 1 Starta Windows Live Mail och påbörja konfigurationen

Skapa e-postkonto för Gmail

Storegate Pro Backup. Innehåll

ANVÄNDAR-GUIDE för Bränneriets LAN

Guide för Google Cloud Print

Manual - Storegate Team

Guide för konfigurering av Office 365 konton

PROGES PLUS THERMOSCAN RF. Instruktionsmanual V

iphone/ipad Snabbguide för anställda på HB

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Installation av MultiTech RF550VPN

Skapa din egen MediaWiki

Telia Centrex IP Administratörswebb Handbok

Softphone. Funktioner

Manual - Storegate Team med synk

Instruktion för konfiguration av e-post IMAP-konto på Android 2.3

Steg 1 Starta Outlook 2010 och öppna konfigurationsguiden

Telia Centrex IP Administratörswebb. Handbok

Gigaset DE380 IP R: Nya och utökade funktioner

INSTALLATIONSMANUAL NORDIC-SYSTEM WEBBSERVER, ios- OCH ANDROID-APP. Ver. 2.5

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund


Steg 1 Starta Windows Live Mail och påbörja konfigurationen

Telia Centrex Avancerad Svarsgrupp - administratörswebb. Handbok

Guide för byte av SIP-server

Detta är en guide för snabbinstallation av IP kameran För fullständig programfunktion hänvisar vi till medföljande manual.

Övningar - Datorkommunikation

Konfiguration övriga klienter

BRUKSANVISNING FÖR NÄTVERKSANVÄNDARE

Fråga: Hur ställer jag in min router utan att använda CD skivan? Svar: Du kan ställa in din router manuellt genom att följa stegen nedan.

Konfigurera Routern manuellt

Snabbguide IP-kamera Kom igång med din kamera

Anslut en dator till valfri LAN-port och surfa in på routern på adress:

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

Instruktion för konfiguration av e-post IMAP-konto på Apple iphone eller ipad

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

Guide för byte av SIP-server

Kapitel 1 Ange din kontoinformation

JobOffice SQL databas på server

Installationsanvisningar

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

version: Sidan 1 av 5

Steg 1 Starta Outlook 2010 och öppna konfigurationsguiden

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Konfigurera Routern manuellt

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Använda Google Apps på din Android-telefon

Installationsguide Junos Pulse för MAC OS X

Bordermail instruktionsmanual

Här är en tydlig steg för steg-guide som beskriver hur du konfigurerar din e-post i e- postprogrammet Microsoft Outlook 2016.

Steg 1 Starta Outlook 2013 och öppna konfigurationsguiden

TST8102 WEBCM BRUKSANVISNING

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Instruktioner för Axxell's Trådlösa Nät

INTROGUIDE TILL E-POST

Lathund Automatisk inloggning

Fick-router MP-01. tre i en fick-router med 6 olika lägen

Steg 1 Starta Outlook 2010 och öppna konfigurationsguiden

Manual Komma igång med Softphone-klient

Uppdateringsguide v4 SR-3

Snabbguide för iphone / ipad

Ver Guide. Nätverk

Startguide för Administratör Kom igång med Microsoft Office 365

C64 4G-router 4G-router för VAKA fjärradministration, IP-porttelefoni och internetbokning.

DD-WRT för trådlös router

E-post inställningar. webgr.nu. Vill ni ha mer information hör av er:

Uppdatera Easy Planning till SQL

INSTALLATIONSGUIDE Com Hem WiFi Hub L1 Bredband Fastighet FiberLAN

Läs detta innan du sätter igång!

Scan Station Pro 550 Administration och serviceverktyg för Scan Station

Innehåll. Installationsguide

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

O365- Konfigurering av SmartPhone efter flytt till Office 365 alt ny installation

WEBBAPPLIKATION 4.1. Centralen för utredning av penningtvätt. Sida 1 / 6 REGISTERING GUIDE. APPLIKATION: 2014 UNODC, version

INNEHÅLL 30 juni 2015

KARLSBORGS ENERGI AB INTERNET KABEL-TV INSTALLATIONSHANDBOK REV

Beskrivning av PiiGAB QuickPost

Så här gör du för att lägga till nytt e-postkonto i Windows 8. Öppna E-post från startskärmen.

Memeo Instant Backup Snabbguide. Steg 1: Skapa ett gratis Memeo-konto. Steg 2: Anslut din lagringsenhet till datorn

VPN (PPTP) installationsguide för Windows 7

ZYXEL PRESTIGE 660H-61 INSTALLATIONSMANUAL

Transkript:

MyPBX Säkerhetskonfiguration (Svenska) Version: V1.5 2014 http://www.eurocomtech.se 1/59

Innehållsförteckning Introduction... 3 Security Center... 3 Part 1 Ports and Password Enhancement... 5 1.1 Web Server(HTTP)... 5 1.1.2 Change the Default Password... 5 1.2 Web Server (HTTPS)*... 5 1.3 Extension... 6 1.3.1 Change the Default SIP Port... 6 1.3.2 Random Password for Extension*... 6 1.3.3. IP Restriction for Extension... 7 1.3.4 "Register Name" for Extension*... 8 1.3.5 Security Configuration for Remote Extensions... 9 1.3.6 TLS registry (Optional)... 9 Part 2 Firewall configuration... 11 Part 3 Service Security... 21 3.1 Disable Guest Call... 21 3.2 SSH Access Enhancement... 21 3.2.1 Disable SSH... 21 3.2.2 Change the Default Password for SSH... 22 3.3 FTP Access Enhancement*... 24 3.4 AMI settings... 24 3.5 TFTP... 26 3.6 Database Grant... 26 3.7 Alert settings... 28 3.7.1 IPATTACK... 28 3.7.2 WEBLOGIN... 29 Part 4 International Call Limit... 30 4.1 Limit Call Credit at Provider Side... 30 4.2 Set Password for International Call... 30 4.3 Disable international call in MyPBX... 32 Appendix A How to Use TLS in MyPBX... 34 1 How to register IP phones to MyPBX via TLS... 34 2 How to register SIP trunk to VoIP provider via TLS... 57 http://www.eurocomtech.se 2/59

Introduktion VoIP attacker, även om det inte är så vanligt så existerar det. När du använder VoIP, är systemets säkerhet utan tvekan en av de frågor som vi bryr oss om mest. Men med lämplig konfiguration och några grundläggande säkerhets vanor, kan vi förbättra säkerheten i telefonsystemet. Dessutom är den kraftfulla inbyggda brandväggen i MyPBX tillräcklig för att göra det möjligt för systemet att bli säker och stabilt. Denna guide kommer att introducera den högsta försvarsnivån i MyPBX, och vi rekommenderar starkt att du konfigurerar brandväggar och andra säkerhetsalternativ enligt den här guiden, för att förhindra angrepp bedrägeri och systemfel eller samtal förlust Denna guide gäller alla MyPBX modeller utom MyPBX Standard V1 / V2 / V3 / V4 / V5, MyPBX SOHO V1 / V2 / V3 och MyPBX E1X. 2. I denna guide, konfigurationsalternativ markerade med "*" bara finns i.19.xx och högre versioner. 3. Vi rekommenderar att du uppgraderar den fasta programvaran till den senaste utgåvan av säkerhets ändamål. 4. Öppna inga onödiga portar i MyPBX om de inte behövs. 5. Vi rekommenderar att begränsa kredit VoIP trunkar för internationella samtal. Security Center Path: System System Preferences Security Center Du kan klicka på knappen om du vill konfigurera de en efter en. http://www.eurocomtech.se 3/59

1. Port: Denna sida visar SIP portar och HTTP-portar, här kan vi klicka på Settings för att ändra på dom. Det rekommenderas att byta standardporten. Bild 0-1 1. Service: Denna sida visar allmänna tjänster som AMI, SSH, TFTP, FTP, HTTP och HTTPS. Vi rekommenderar att du inaktivera dem om du inte skall använd dom Obs: TFTP används för att T.ex. registrera en telefon, det är aktiverat som standard, du kan inaktivera den när alla telefoner är konfigurerade. Bild 0-2 2. Firewall: På denna sida visas grundläggande information för brandväggsregler. Vi rekommenderar att du konfigurerar det steg för steg efter del 2 av denna manual.. Bild0-3 http://www.eurocomtech.se 4/59

Part 1 Ports and Password Enhancement Portar och lösenord är viktigast för säkerheten. Vi rekommenderar att du ändrar dem. 1.1 Web Server(HTTP) 1.1.1 Ändra standardporten HTTP bind. PBX Basic Settings General Preferences Web Server Vi kan ändra den till en annan T.ex. 8080. Bild1-1 1.1.2 Change the Default Password System System Preferences Password Settings Bild1-2 Ett starkt lösenord måste konfigureras här för alla konton. Särskilt kontot admin och user. 1.2 Web Server (HTTPS)* HTTPS (HTTP över SSL eller HTTP Secure) Användning av HTTPS skyddar mot man-inthe-middle attacker. HTTPS har fått stöd sedan firmwareversion X.19.XX man kan nu aktivera HTTPS och ändra standardporten för att skydda MyPBX från att attackeras via webben. PBX Basic Settings General Preferences Web Server http://www.eurocomtech.se 5/59

Figure1-3 Efter HTTPS är aktiverad kan användarna logga in MyPBX Web GUI via HTTPS. 1.3 Extension Hackare skickar alltid paket till PBX för att försöka registrera anknytningar så de kan ringa ut. 1.3.1 Change the Default SIP Port Path: PBX Advanced Settings SIP Settings General UDP Port Bild1-4 Vi rekommenderar att ändra detta till en annan tillgänglig port, till exempel: 5080. 1.3.2 Random Password for Extension* I tidigare versioner (före X.19.XX), är standardlösenordet i anknytningen "pincode + anknytningsnummer". Ett lösenord med övre och nedre bokstäver och siffror rekommenderas att byta till exempelvis:. AjK5Up1G http://www.eurocomtech.se 6/59

Även i den nya firmware-versionen (efter X.19.XX) är slumpmässiga lösenord som genereras till nybildade anknytningar. De slumpmässiga lösenord är alla starka nog med övre och nedre bokstäver och siffror. Bild1-5 Obs: ett starkt lösenord är ett måste för fjärr anknytningar. 1.3.3. IP Restriction for Extension Path: PBX Extensions FXS / VoIP Extensions VoIP Extensions Övriga inställningar IP Restriction. När det är konfigurerat, kan endast tillåten IP registrera denna anknytning. Alla andra som försöker registrera kommer att bli nekade. Formatet är "IP-adress / Subnet mask", t.ex. 192.168.5.136/255.255.255.255. På detta sätt kan bara 192.168.5.136 registrera denna anknytning (6010).. http://www.eurocomtech.se 7/59

Bild1-6 Obs: om det är en fjärr-anknytning behövs en statisk IP-adress. 1.3.4 "Register Name" for Extension* "Registrera namn" betyder att namnet behövs för att kunna registrera anknytningen. Även om namn samt lösenordet stämmer kommer inte telefonen att kunna registrera. Bild1-7 http://www.eurocomtech.se 8/59

Bild1-8 1.3.5 Security Configuration for Remote Extensions PBX Extensions FXS/VoIP Extensions VoIP Extensions General Enable NAT and Register Remotely som på bilden nedan.. Bild1-9 Obs: 1. Om fjärr registrering inte krävs, skall du inaktivera den. 2. Om anknytningen registreras via WAN-porten, vänligen aktivera Registrera Fjärr. 1.3.6 TLS registry (Optional) Transport Layer Security (TLS), transportlagersäkerhet, är ett kryptografiskt kommunikationsprotokoll som är en öppen standard för säkert utbyte av krypterad information mellan datorsystem. http://www.eurocomtech.se 9/59

TLS är en vidareutveckling av version 3 av SSL-protokollet, och står under IETF:s kontroll. TLS kan användas med flera olika protokoll, såsom HTTPS (egentligen protokollet HTTP med tillägget S (secure) som indikerar att det används över TLS (eller SSL)), FTPS, IMAP, POP3 och SMTP. TLS stöds i MyPBX, Du kan också registrera SIP trunkar till VoIP-leverantörer via TLS. Vi behöver i såna fall ladda upp certifikatet i MyPBX och IP-telefonerna. Hackare försöker oftast registrera anknytningar via UDP. Om TLS är aktiverat i MyPBX kommer hacker inte att kunna registrera anknytningen utan CA och deras begäran kommer att avslås direkt. Hänvisa till Appendix I för att få detaljerade steg hur du använder TLS i MyPBX. Obs: TLS är inaktiverat i MyPBX som standard. Vi måste aktivera det i SIP inställningar i förväg innan du använder den. http://www.eurocomtech.se 10/59

Part 2 Firewall configuration Anm: Säkerhetskopiera konfiguration på "Säkerhetskopiering och återställning" sidan innan du går vidare. Så om du skulle låsa enheten kan du återställa till fabriksinställningarna och återställa tidigare inställningar. Den grundläggande logiken för att konfigurera brandväggen är att låta alla betrodda IPadresser få tillgång till serven och sedan aktivera Drop All så alla nekas utom de betrodda. Steg1. Aktivera brandväggen på brandvägg sidan i MyPBX System Security Settings Firewall Rules General Settings Bild2-1 Steg2. Lägg gemensamma regler för att ta emot tillträde till accessnätet Skapa en gemensam regel för att alla IP-adresserna för de lokala telefoner för att få tillgång till MyPBX server. Till exempel är den lokala IP-intervallen 192.168.5.1-192.168.5.254, konfigurationen kan vara enligt nedan: Name: LocalNetwork Protocol: Båda Port: 1:65535 IP: 192.168.5.0/255.255.255.0, formatet måste vara "IP/net mask" Åtgärd:Acceptera http://www.eurocomtech.se 11/59

Bild 2-2 Steg 3. Lägg till gemensamma regler för att tillåta fjärr administratörer, anknytningar eller enheter. Till exempel, är den offentliga IP adressen 110.30.25.152; Kan vi tillåta alla portar för denna pålitliga IP adress. Name: Remote Protocol: BÅDA Port: 1:65535 IP: 110.30.25.152/255.255.255.255 Action: Acceptera Bild2-3 http://www.eurocomtech.se 12/59

Obs: statisk publik IP-intervall måste konfigureras här, om den "dynamiska IP-adressen inte ingår i IP-intervallen finns det inget behov att konfigurera den, men "drop all" i nästa steg ska inte kryssas i. IP blacklist är till för att skydda MyPBX. Vi rekommenderar att få en statiskt IP address. Steg4. Lägg en gemensam regel för att ta emot/acceptera den statiska IP adressen från din VoIP-operatör. De portar som används för att kontakta SIP-leverantör är 5060 och 10.000-12.000 som standard, om du har ändrat den här portintervall, kan du mata in den direkt själv. Till exempel är IP-adressen 110.111.132.6, ska konfiguration vara två delar, en är för 5060, och den andra RTP port: 10.000-12.000. Tillåt reg porten: 5060. Name: SIP Protocol: UDP Port: 5060:5060 IP: 110.111.132.6/255.255.255.255 Action: Acceptera Bild2-4 Tillåt RTP portintervall: Name: RTP Protocol: UDP Port: 10000:12000 IP: 110.111.132.6/255.255.255.255 http://www.eurocomtech.se 13/59

Action: Acceptera Bild2-5 OBS: Om mediaservern för SIP-Levrantören är dynamisks, och vi kan inte samla in IPintervall då kan vi tillåta hela RTP intervallen: Name: RTP_ALL Protocol: UDP Port: 10000:12000 IP: 0.0.0.0/0.0.0.0 Action: Acceptera Bild2-6 http://www.eurocomtech.se 14/59

På så sätt kan MyPBX bli av one-way volume problemet Steg5. Blockera webbanslutning för de andra IP-adresser som inte har lagts in i acceptera listan Bild2-7 Obs! Många attacker orsakas av Web access, så det rekommenderas att neka all otillförlitlig anslutningar via webbgränssnittet. Steg6. Lägg gemensamma regler för att ta emot den statiska IP intervallen av NTP, SMTP och POP-server. Vi rekommenderar att öppna alla portar för NTP, SMTP och POP-servern I MyPBX brandvägg och IP-adressen ska vara en statisk eller tillhöra en IP intervall. Om det är Dyndns, finns det inget behov att konfigurera denna regel, men IPblacklist bör behållas, och" Drop All "bör inte vara ikryssad. Till exempel SMTP-servern är 110.30.1.123. Name: Allow_SMTP Protocol: Båda Port: 1:65535 IP: 110.30.1.123/255.255.255.255 Action: Acceptera http://www.eurocomtech.se 15/59

Bild2-8 Till exempel POP-servern är 218.85.65.150. Namn:Allow_POP Protokoll:BÅDE Port:1: 65535 IP:218.85.65.150/255.255.255.255 Åtgärd:Acceptera Bild 2-9 Till exempel NTP-servern är 202.120.2.101 Namn:Allow_NTP Protokoll:BÅDE Port:1: 65535 IP:202.120.2.101/255.255.255.255 http://www.eurocomtech.se 16/59

Åtgärd:Acceptera Bild 2-10 Till exempel STUN-servern är 218.85.148.250. Namn:Allow_STUN Protokoll:BÅDE Port:1: 65535 IP:218.85.148.250/255.255.255.255 Åtgärd:Acceptera Bild 2-11 Steg 7 Konfigurera automatisk svarta listan (Blacklist) regler http://www.eurocomtech.se 17/59

Auto blacklist regler: Server lägger till IP-adresser till den svarta listan automatiskt om antalet paketen den skickar överskrider den regel som du konfigurerade. Observera: Följande 3 regler är skapade av MyPBX som standard, vi rekommenderar standardreglerna istället för att modifiera värdet där. 1) Två auto svartlistade regler för port: 5060. Regel nr 1: Port: 5060 Protikoll: UDP IP Paket: 120 Tid intervall: 60 Sekunder Bild 2-12 Regel nr 2: Port: 5060 Protikoll: UDP IP Paket: 40 Tid intervall: 2 Sekunder Bild 2-13 En automatisk svartlista regel för Port: 8022 Regel nr 2: Port: 8022 Protikoll: TCP IP Paket: 5 Tid intervall: 60 Sekunder http://www.eurocomtech.se 18/59

Bild 2-14 Steg 8. Aktivera "Drop all" (Om denna funktion är aktiverad, kommer alla paket och anslutningar som inte stämmer överens med reglerna att avlägsnas eller inte få någon kontakt med serven.) Varning: innan du aktiverar den här funktionen måste du skapa en regel för att acceptera ditt lokala ip intervall, annars kommer du inte få tillgång till serven. Det rekomenderas att du gör en backup innan du slår på Drop all ifall du skrivit in fel IP adress/intervall. Bild 2-15 Observera: 1. När du har aktiverat "Drop All", reglerna för auto försvar och IP blacklist, kommer den inte att träda i kraft för de IP adresser som du har gett serven tillåtelse för. 2. Detta innebär att förutom de IP-adresser och paket som definieras i accepterar reglerna kommer alla andra anslutningar eller paket droppas/blockeras. http://www.eurocomtech.se 19/59

3. Om "Drop All" inte är aktiverat, ta inte bort IP-blacklist reglerna, för i sådana fall utsätter du hela systemets säkerhet. Steg 9. Konfigurationen av brandväggsinställningar är klar. Se bilden nedan Bild 2-16 Bild 2-17 http://www.eurocomtech.se 20/59

Part 3 Service Security 3.1 Inaktivera Gäst Call PBX Advanced Settings SIP Settings Advanced Settings Allow Guest Bild 3-1 Obs: Tillåta gäst är inaktiverad som standard. Och det rekommenderas inte att aktivera funktionen om du inte ska använda den. 3.2 SSH Access Enhancement 3.2.1 Inaktivera SSH System Network Settings LAN Settings Enable SSH If external debugging isn t required, please select No. http://www.eurocomtech.se 21/59

Bild 3-2 Obs: SSH åtkomst är inaktiverad som standard. Och det rekommenderas inte att aktivera funktionen om du inte ska använda den. 3.2.2 Ändra standardlösenordet för SSH Vi kan använda Linux kommandot passwd för att ändra lösenordet för root i MyPBX. 1. Logga in via putty.exe. Bild 3-3 http://www.eurocomtech.se 22/59

Standard användarnamnet är rott och standard lösenordet är ys123456. Bild 3-4 Använd kommandot passwd att ändra lösenordet till root. Bild 3-5 Du måste ange det nya lösenordet två gånger för att få effekt. http://www.eurocomtech.se 23/59

3.3 3 FTP Åtkomst Enhancement* System Network Preferences LAN Settings FTP Om du inte loggar in MyPBX via FTP, välj "Nej" för att stänga av den. Bild 3-6 Obs: FTP åtkomst är inaktiverad som standard. Och det rekommenderas inte att aktivera funktionen om du inte ska använda den. 3.4 AMI inställningar Den Asterisk Chef Interface (AMI) tillåter ett klientprogram för att ansluta till en Asterisk direkt och utfärda kommandon eller läsa av händelser över en TCP/IP-ström. Integratörer kommer att finna detta särskilt användbart när man försöker spåra statusen för en telefoniklient inne i Asterisk. Mer information kan du hänvisa till denna Http: // www. voip-info.org/wiki/view/asterisk+manager+api OBS: den här funktionen är inaktiverad som standard; för tillfället finns det ingen anledning till att ha igång den. Om den är aktiverad, ändra kontot och konfigurera IP restriktion. http://www.eurocomtech.se 24/59

Bild 3-7 För att hantera konton för att få tillgång AMI, kan vi konfigurera den i AMI sidan direkt Klicka System >System Preferences>AMI Settings. Till exempel kan AMI-kontot vara: Användarnamn: Utvecklare Lösenord: Utvecklare Den enda IP-adress som "är tillåtet att logga in är 192.168.1.71. Vi kan konfigurera det så här: Bild 3-8 Spara den och tillämpa ändringarna. Bekräfta information, vänligen försök kommandot "cat /etc/asterisk/manager.conf" http://www.eurocomtech.se 25/59

Bild 3-9 3.5 TFTP MyPBX kan fungera som en TFTP-server när du använder "telefon provisioning", och den här funktionen är aktiverad som standard. Om alla telefoner är väl utrustad, kan du stänga av denna tillgång för att skydda konfigurationsfilerna i MyPBX. Klicka System Security Center Service för att stänga av den. Bild 3-10 3.6 Database Grant MyPBX har integrerat MySQL sedan x.18.0.xx, vilket ger bekvämlighet för användarna att hantera CDR och inspelningsloggen. http://www.eurocomtech.se 26/59

För att skydda databasåtkomst, måste vi ställa in användarnamn och lösenord innan inloggning. Det finns inget konto konfigurerat som standard, om du behöver ansluta databasen med tredje parts programvara, måste du ställa in detta först. Till exempel, användarnamn: Harry, lösenord: Harry123 Bild 3-11 Spara och tillämpa ändringarna Bild 3-12 När du loggar in med något annat program, kan vi kontrollera CDR. Bild 3-13 http://www.eurocomtech.se 27/59

3.7 Alert settings Efter du har aktiverat larm inställningar om enheten är attackerad, kommer systemet att meddela användarna via samtal eller e-post. De attacklägen inkluderar IP-attack och webbinloggning. 3.7.1 IPATTACK Efter du har aktiverat larm inställningar om enheten är attackerad, kommer systemet att meddela användarna via samtal eller e-post. De attacklägen inkluderar IP-attack och webbinloggning Telefon Meddelandeinställningar: Telefon Meddelande:Ja Antal: 500; 5.503.301 Försök: 1 Intervall: 60s Prompt: default Obs: Om det är ett utgående nummer som kommer att anmälas bör numret passa dial Pattern av ugånde rutt. E-post Meddelandeinställningar: E-post Meddelande:Ja Till: alert@eurocomtech.com Ämne: IPAttack http://www.eurocomtech.se 28/59

Bild 3-14 3.7.2 WEBLOGIN Inmatning av fel lösenord fem gånger när du loggar in MyPBX webbgränssnitt kommer att anses som en attack, Och systemet kommer att begränsa IP-login inom 10 minuter och meddela användaren Exempel: konfigurerad att anmäla Anknytning 500, utgående nummer 5503301 och E-post alert@eurocomtech.com. Inställningarna är enligt nedan. Telefon Meddelandeinställningar: Telefon Meddelande: Ja Antal:500; 5.503.301 Försök: 1 Intervall: 60s Prompt: default Obs: Om det är ett utgående nummer som kommer att anmälas bör numret passa dial Pattern av ugånde rutt. E-post Meddelandeinställningar: E-post Meddelande: Ja Till: alert@yeastar.com Ämne: WebLogin http://www.eurocomtech.se 29/59

Bild 3-15 Part 4 International Call Limit 4.1 Limit Call Credit at Provider Side Vi kan be VoIP / PSTN / ISDN-leverantören för att få hjälp om att begränsa din kredit på internationella samtal i förväg, då kan hackaren inte ringa internationella samtal. Varje leverantör har sin egen policy. Du kan också be leverantören att inaktivera internationellt samtal om det inte behövs. 4.2 Set Password for International Call Med MyPBX kan du konfigurera lösenord för utgående linjer. Klicka på "PBX Outbound samtalskontroll Outbound Route". Till exempel det lösenord du behöver är 5503333 Dial pattern: 00. <missa inte punkten här> Lösenord: 5.503.333 Välj den tillåtna anknytningen och trunken till höger sida så här: http://www.eurocomtech.se 30/59

Bild 4-1 Spara och tillämpa ändringarna, när 300 och 301 plockar upp headsetet och slå ett internationellt nummer, kommer MyPBX fråga efter lösenordet. Om rätt lösenord anges, kommer samtalet att ringas ut; Om inte, kommer samtalet att nekas. http://www.eurocomtech.se 31/59

4.3 Disable international call in MyPBX Vi kan be om hjälp att inaktivera internationella samtal i förväg, om inte det är möjligt, kan vi konfigurera reglerna i MyPBX för att neka alla internationella samtal. Här är de i detaljerade steg. Steg1. Skapa ett ogiltigt SIP trunk Skapa ett ogiltigt SIP trunk i "PBX VoIP trunk tjänsteleverantör". IP-adressen kan vara en ogiltig, som 127.0.0.1. Bild 4-2 Spara den och tillämpa ändringarna. Statusen för denna trunk är onåbar, vilket är precis vad vi vill ha. Steg2. Skapa en utgående väg för alla anknytningar och trunkar för att dirigera internationella samtal till. Klicka på " PBX>Outbound Call Control>Outbound Route ", skapa en ny: Namn: NoInternational Dial mönster: 00. <missa inte punkten här> Strip: 0 http://www.eurocomtech.se 32/59

Välj alla anknytningar och den särskilda trunken (Invalid_international) till höger sida Bild 4-3 Spara den och tillämpa ändringarna. Klicka sedan på pilen till vänster för att ställa in den till toppen. Bild 4-4 http://www.eurocomtech.se 33/59

I detta fall kommer alla internationella samtals dirigeras till denna ogiltiga trunk dvs. Samtalet kommer att kopplas ner direkt Appendix Använda TLS i MyPBX 1 Så här registrerar du IP-telefoner till MyPBX via TLS MyPBX arbetar som SIP-server, IP-telefoner registrerar till MyPBX som anknytningar via TLS 1.1 Aktivera TLS i MyPBX webbgränssnitt Klicka PBX SIP settings General för att nå inställningarna om TLS, vilket är inaktiverad som standard. Bild A-1 TLS Port Port som används för att registerna Sip. Standard är 5061. TLS Verify Server När man använder MyPBX som TLS-server, med eller utan att kontrollera serverns certifikat. Det är "Nej" som standard. TLS Verify Client När man använder MyPBX som TLS-klient, med eller utan att kontrollera klientenss certifikat. Det är "Nej" som standard. TLS Ignore Common Name Ställ in denna parameter som "Nej", så vanliga namn måste vara samma som IP eller domännamn. http://www.eurocomtech.se 34/59

TLS Client Method Vid användning MyPBX som TLS-klient, ange protokoll för utgående TLS-anslutningar. Du kan välja det som TLSv1, SSLv2 eller SSLv3. Anteckningar: Bild A-2 1. Av säkerhetsskäl rekommenderar vi att aktivera "TLS Verifiera Client" och inaktivera "TLS Ignorera Common Name", i vilket fall kommer MyPBX verifiera IP-telefonens certifikat, det gemensamma namnet inne i certifikatet bör vara samma sak som IP eller domännamnnet. 2. TLS-klient Metod: det är en TLS metod för IPtelefonen, du kan kontakta tillverkaren av IPtelefonen för att få det. 3. Du måste starta om MyPBX om ändringarna ska börja gälla efter att ha aktiverat TLS. 1.2. Prepare the whole certificates for TLS Här är de certifikat som MyPBX och IP-telefoner för TLS-registret som skärmdumpen ovan: MyPBX s CA: CA.crt. MyPBX s server certifikat: asterisk.pem. IP-telefonens CA: CA.crt or CA.csr. IP-telefonens server certifikat: client.pem. Certifikatet genereras via toolkit OpenSSL du kan kompilera källpaketet från http://www.openssl.org/, eller ladda ner verktyget som används här, nedladdningslänk: www.yeastar.com/download/tools/tls_ca_tool.rar I paketet hittar du följande filer: http://www.eurocomtech.se 35/59

Bild A-3 Ca.bat: Skapa ca.crt för IP-telefon och MyPBX Client.bat: Skapa "client.pem", det ä till IP-telefonens servercertifikat" Server.bat:. Skap "asterisk.pem", det är till MyPBX servercertifikat". Här är stegen för att göra alla certifikat. Steg 1. Förbered MyPBX s CA: ca.crt Dubbel klick ca.bat http://www.eurocomtech.se 36/59

Bild A-4 Följ bara guiden för att mata in information av MyPBX steg för steg. I det här exemplet är MyPBX "IP-adress 192.168.4.142. http://www.eurocomtech.se 37/59

Bild A-5 http://www.eurocomtech.se 38/59

Bild A-6 Den här ca.crt är samma som den i mappen / TLS_CA_Tool / ca / trusted/. MyPBXs CA: ca.crt har genereras. Bild A-7 http://www.eurocomtech.se 39/59

Steg 2 Förbered "asterisk.pem", "MyPBX s servercertifikat" Vi behöver ca.crt och CA.key för att skapa servercertifikatet. Dubbelklicka på "server.bat". Bild A-8 Följ guiden för att mata in informationen steg för steg, och se till att den information du har angivit matchar den du angav i Steg 1. http://www.eurocomtech.se 40/59

Bild A-9 Kontrollera all informationen skriv sedan in "y" för att fortsätta. När du är klar, kan du hitta asterisk.pem som följande bild visar. http://www.eurocomtech.se 41/59

Bild A-10 asterisk.pem "MyPBX" servercertifikat " skapades. OBS: Vi kan kopiera asterisk.pem, ca.crt till en annan mapp innan vi skapar IPtelefonens "certifikat. http://www.eurocomtech.se 42/59

Steg 3. Förbered IP-telefonens certifikat, ca.crt 11 Bild A- Dubbelklicka på "ca.bat", mata in uppgifter om IP-telefonen steg för steg. Bild A-12 http://www.eurocomtech.se 43/59

I det här exemplet är IP-telefonens "IP-adress 192.168.4.71. Bild A-13 När du är klar, kan vi hitta ca.crt i denna mapp. http://www.eurocomtech.se 44/59

14 Bild A- ca.crt filen i mappen /TLS_CA_Tool/ca/trusted är samma som den ovan. Telefonens certifikat är nu klart. FigureA-15 http://www.eurocomtech.se 45/59

Obs: Om du har fått en egen CA för din IP-telefon kan du byta namn på den till ca.crt och kopiera den till mappen "/TLS_CA_Tool/ca/trusted" innan du skapar "client.pem". Steg4. Förbered "client.pem", "IP telefonens servercertifikat". Dubbelklicka på "client.bat". Bild A-16 Mata in IP-telefonens information steg för steg i detta skript; se till att innehållet är samma som steg 3 http://www.eurocomtech.se 46/59

17 Bild A- Bekräfta all information du matat in innan du klickar på "y" för att avsluta denna guide. http://www.eurocomtech.se 47/59

Bild A-18 IP-telefonens servercertifikat är nu skapad. OBS: Vi kan kopiera client.pem, ca.crt till en annan mapp innan du laddar upp den. Bild A-19 http://www.eurocomtech.se 48/59

the certificates are prepared. 1.3. Ladda certifikat 1.3.1 Ladda upp IP-telefonens certifikat I detta exempel, är IP-telefonen en Yealink T28. Steg 1. Ladda upp "IP-telefonens servercertifikat" (client.pem) Klicka på "Säkerhet servercertifikat" för att ladda upp client.pem Bild A-20 Klicka på "Välj fil" och ladda upp IP-telefonens servercertifikat. IP-telefonen startar om av sig själv när uppladdningen är klar http://www.eurocomtech.se 49/59

21 Bild A- När IP-telefon startar upp igen, kan vi kontrollera certifikatstatusen. Bild A-22 Steg2. Ladda upp det betrodda certifikatet. Det betrodda certifikatet är ca.crt av MyPBX. Det kommer att skickas till MyPBX under registering s processen för godkännande. Klicka på Security Trusted Certificates, upload MyPBX s ca.crt. http://www.eurocomtech.se 50/59

Bild A-23 Bild A-24 http://www.eurocomtech.se 51/59

När du är klar, kan vi kontrollera innehållet i ca.crt som på bilden nedan. Bild A-25 Certifikaten i IP-telefon är uppladdade. 3.2 Ladda upp MyPBX " Certifikatet I detta exempel är modellen för MyPBX MyPBX U200 ( firmware-version : 15.18.0.22 ) Steg 1. Ladda upp MyPBX servercertifikat ( asterisk.pem ) Klicka på " PBX > Avancerat Inställningar-> Certifikat " klicka sedan på " Ladda upp certifikat ", välj " PBX -certifikat " ladda sedan upp asterisk.pem. Bild A-26 http://www.eurocomtech.se 52/59

Klicka på Spara för att ladda upp, Efter du sparat måste du starta om MyPBX. Bild A-27 Klicka på Starta om nu, för att starta om MypBX. När du är klar, kan vi gå vidare till steg 2. Bild A-28 Steg2. Ladda upp det betrodda certifikatet. Det betrodda certifikatet i MyPBX bör vara ca.crt av IP-telefonen. Klicka på " Ladda upp Certifikat" och välj "Tillförlitliga certifikat " ladda sedan upp IPtelefonens ca.crt. http://www.eurocomtech.se 53/59

Bild A-29 Klicka på "Spara " för att ladda upp, klicka sedan på " Verkställ ändringar ". Bild A-30 Certifikaten i MyPBX sidan är uppladdade. http://www.eurocomtech.se 54/59

1.4. Registrera IP-telefon till MyPBX via TLS Innan du registrerar IP- telefon till MyPBX, måste vi skapa en SIPanknytning på MyPBX sida i förväg, eller redigera en befintlig. I detta exempel är anknytningsnumret 303. Vi måste ställa TLS-protokollet på den här sidan, klicka på spara och " Verkställ ändringar " på webben. 31 Bild A- Öppna IP telefonens konfigurationssida, ange registreringsinformation till Anknytning 303. http://www.eurocomtech.se 55/59

Bild A-32 Klicka på "Bekräfta" för att verkställa ändringarna, då är anknytningen 303 registrerad via TLS. Vi kan också kontrollera statusen på " Extension Status" i MyPBX. Bild A-33 Om du har några problem med att registrera anknytningen, kör en Packet trace i " Reports/System Logs/Packet Capture Tool", Skriv in IP telefonens IP-adress, välj eth -port och klicka sedan på " Start". Prova att registrera IP- telefonen igen, och klicka sedan på "Stop" och hämta paketet för att analysera via wireshark. http://www.eurocomtech.se 56/59

Bild A-34 1.2 Hur man registrerar SIP trunk för VoIP leverantör via TLS Om du har fått SIP- trunk från leverantör som använder TLS, kan vi konfigurera den i MyPBX och välja TLS inom trunken, här är två exempel för dig. VoIP trunk http://www.eurocomtech.se 57/59

Bild A-35 Tjänsteleverantör trunk (P-P). http://www.eurocomtech.se 58/59

36 Bild A- [[Klar]] http://www.eurocomtech.se 59/59

2026 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss