Công nghệ phát triển cho phép triển khai mọi hệ thống thoại trên nền tổng đài điện thoại IP như Call Center, Trung tâm chăm sóc khách hàng, Hệ thống tổng đài từ vài số đến hàng trăm ngàn số, tuy nhiên để đảm bảo hệ thống hoạt động ổn định và hiệu quả tránh ngòm ngó từ bên ngoài vào hệ thống thì việc bảo mật hệ thống thoại là rất cần thiết cho hệ thống tổng đài IP
A. Bảo mật cho tổng đài IP Grandstream UCM61xx và UCM6510
1. Cài đặt dial plan không cho gọi quốc tế
– Tại mục dial plan ta thiết lập không bấm được đầu 00 đi quốc tế như hình dưới qua các dial plan như sau:
– _Z. (Chú ý dấu gạch chân + chữ Z và dấu chấm cuối cùng)
– _X[12345689].
2. Cai đặt password máy lẻ tự động từ hệ thống
Password khong nên đặt dễ nhớ, nên để hệ thống tự sinh password gồm cả Chữ, Số, Ký tự Hoa và ký tự thường
3. Giới hạn giải địa chỉ IP được đăng ký tài khoản máy lẻ
– Giới hạn số máy lẻ chỉ được đăng ký ở địa chỉ IP nào hoặc giải mạng nào nhất định
4. Kích hoạt firewall khi đăng ký không thành công hệ thống sẽ tự động khóa lại
– Enable fail2Ban: Kích hoạt chế độ firewall
– Banned Duration (thời gian khóa là bao lâu, tính bằng giây)
– Max Retry Duration: Trong bao nhiêu giây khi đăng ký lỗi
– MaxRetry: Số lần đăng ký lỗi
Ghi chú: Với hình ảnh dưới ý nghĩa là: Nếu trong vòng 60 giây mà 1 ip nào đó đăng ký lỗi 5 lần thì sẽ bị khóa trong vòng 1800 giây (60 phút)
– Fail2ban Whitelist: Danh sách địa chỉ ip không bị chặn
B. Bảo mật cho tổng đài IP asterisk
1. Không mở gọi quốc tế nếu không có nhu cầu.
Nếu bạn không có nhu cầu gọi quốc tế thì cách tốt nhất tránh cước quốc tế phát sinh ở bất kỳ trường hợp nào thì bạn khóa gọi quốc tế tại phía nhà cung cấp đường truyền như: VNPT, Viettel…
2. Không open port và DMZ trên modem
Nếu các máy lẻ của tổng đài IP chỉ hoạt động trong nội bộ, không có nhu cầu đăng ký máy lẻ từ ngoài mạng vào hệ thống thì các bạn không mở port hoặc DMZ trên modem.
3. Sử dụng pass phức tạp và chỉ cho phép giải mạng điện thoại IP nào được đăng ký
– Như hình vẽ trên password được đặt cả chữ hoa + chữ thường + ký tự đặc biệt + số -> Như vậy đảm bảo cho việc đăng ký dò pass từ ngoài vào là rất khó
– Permit: Tại máy lẻ này chỉ được phép đăng ký bởi giải mạng nội bộ trong hệ thống, không cho phép đăng ký từ ngoài vào.
4. Thiết lập firewall
Chi cho phép giải mạng nào được connect vào hệ thổng tổng đài, còn lại không cho connect vào hệ thống
5. Thiết lập VPN
Thiết lập VPN cho phép kết nối nhiều điểm nhiều chi nhánh với hệ thống mạng WAN riêng, đảm bảo cho hệ thống không bị nhòm ngó từ bên ngoài mạng vào hệ thông là giải pháp hữu hiệu tốt nhất
6. View log hệ thống
View log hệ thống cho phép bạn xem các truy cập bất thường từ IP nào ngoài mạng, từ đó có phương án ngăn chặn truy cập từ các IP đó hoặc các nguy cơ khác