FreePBX：最初のレーキステップ

FreePBXに精通し始めて、経験豊富なシステム管理者でさえも、気分をひどく台無しにし、このシステムを使い続けたいという欲求を落とす可能性のある同じ過ちを犯すことがよくあります。











もちろん、まず第一に、これらはステーションの安全性に関するエラーです。 テレフォニーオペレーターに接続する場合、実際に電話をかけなかったとしても、通話に対して完全に経済的な責任があることに注意してください。 そもそも何をする必要があるのか​​、絶対に不可能なことを見てみましょう。



システムをインストールした直後に、ゲストコールと匿名コールを受信する機能を無効にする必要があります。もちろん、それらを使用する予定はありません。 そうしないと、実際に誰もがあなたのステーションを介して電話をかける機会を提供することになり、大きな経済的損失につながる可能性があります。

設定→SIPのアスタリスク設定→一般的なSIP設定

設定→SIPのアスタリスク設定→SIPチャネル設定

FreePBXは絶えず更新されており、開発者はシステムのセキュリティを確保するために多大な努力を払っていますが、コードの脆弱性は定期的に検出され、これを使用して通信事業者へのアクセスパラメータなどを取得できます。 この場合、電話はあなたのステーションから来ないという事実にもかかわらず、オペレーターはおそらくあなたからの支払いを要求するでしょう。 したがって、Webインターフェイスの保護を忘れてはなりません。サーバーがローカルネットワークにインストールされている場合は、ポート80を外部に転送しないでください。リモート構成では、vpn、sshトンネル、またはその他のアクセス方法を使用できます。 FreePBXがリモートサーバーにインストールされている場合、または何らかの理由でネットワークに直接アクセスできる場合、iptablesレベルでポート80に接続する機能を制限し、追加のセキュリティツールとしてBasic Authパスワード保護を使用することもできます。



公式画像からFreePBXをインストールした場合、ファイルを編集する必要があります

/etc/httpd/conf.d/freepbx.conf
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最後の最後の行の前に、次を追加する必要があります

 AuthType Basic AuthName "Administrative zone" AuthUserFile /.htpasswd Require valid-user
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

.htpasswdファイルへのパスに注意してください-ファイルを保存するために任意のパスを指定できます。 次に、アカウントを作成する必要があります。 選択したディレクトリに移動して、

 htpasswd -c .htpasswd admin
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

adminユーザーのパスワードを入力します。 Apacheを再起動することを忘れないでください：

 service httpd reload
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして結果を確認します。









また、サービスプロバイダーに連絡し、IPアドレスによる資格情報との接続機能を制限する必要があります。この場合、攻撃者がユーザー名とパスワードを取得しても機能しません。



もちろん、ステーションでのユーザーアカウントのセキュリティを忘れてはなりません。 可能な場合（たとえば、すべてのユーザーがローカルネットワーク上にある場合）、必ずIPアドレスへの接続機能を制限してください-特定のユーザーのパスワードが危険にさらされても、攻撃者は外部からパスワードを使用できません。

アプリケーション→内線番号→内線番号→詳細

ipでユーザーを制限できない場合があります。たとえば、異なる3g、4g、およびwifiネットワークの携帯電話からアカウントが使用されます。 この場合、まず、パスワードの強度を確認します。 「空の」ステーションであっても、テストであっても、qwertyのようなパスワードを設定する必要はありません。そのようなアカウントを忘れてしまうのは、そのようなパスワードを拾うのと同じくらい簡単だからです。

アプリケーション→内線番号→内線番号→一般

ブルートフォースパスワードについて考える必要があります。 当然、サーバーが同じネットワークからクライアントにサービスを提供し、同じキャリアに接続する場合、ネットワークやプロバイダーの既知のアドレスを除くすべてのSIPポート（通常5060）への接続機能を制限することもできます。 FreePBXを手動でインストールした

 -A INPUT -s xxx.xxx.xxx.xxx/32 -p udp -m udp --dport 5060 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yyy/32 -p udp -m udp --dport 5060 -j ACCEPT -A INPUT -p udp -m udp --dport 5060 -j DROP
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

または、公式イメージからシステムをインストールした場合は、組み込みのファイアウォールWebインターフェイスモジュールを使用します。 メニューで信頼済みネットワークと外部ネットワークを手動で設定できます

接続→ファイアウォール→ゾーン→ネットワーク

ブックマークでアクセスできるサービスを決定します

接続→ファイアウォール→サービス

ただし、SIPポート用にいくつかのサブネットだけを残すことは常に可能とは限りません。 この場合、fail2banをインストールし、アスタリスクで使用するように構成することを強くお勧めします。 このデーモンは、許可の試行のログに基づいて、指定された回数の許可の試行後、特定の時間だけ持続しすぎることをブロックするため、ブルートフォースを抑制することができます。 fail2banの最新バージョンでは、アスタリスクのルールが既に配信に含まれていますが、その操作性を確認することをお勧めします-明らかに間違ったユーザー名とパスワードで（ただし、サーバーに接続しているのと同じIPアドレスからではありません！）このアドレスはコマンドによってブロックされますか

 iptables -L
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

FreePBXの公式アセンブリでは、パスワード保護システムが既にインストールおよび構成されています。 ブロックされたアドレスはブックマークにあります

接続→ファイアウォール→ステータス

非常に多くの場合、特に小規模組織では、プロバイダーが1つしか使用されていない場合、システム管理者は発信ルートを正しく構成することに注意を払わず、X。テンプレートに制限して、すべてのユーザーが任意の電話番号に電話できるようにします。 サイバー犯罪者が電話をかける可能性が完全に排除されていても、ユーザーが間違いを犯してドミニカ共和国のどこかに電話をかけることができることを忘れてはなりません。したがって、発信通話を必ず制限する必要があります。 通常、固定電話番号と携帯電話番号のコールテンプレートを追加するだけで十分です。ロシア連邦の場合、ルートは次のようになります。

接続→アウトバウンドルーティング→ルート→ダイヤルルール

ここでは、番号を11桁で、8で始まり、2桁目が3,4,8または9であるように設定します。これは、すべてのロシアの番号を完全にカバーし、内部ルート100-199のみがこのルートで呼び出されることを許可します。 従業員の1人が国際電話をかける必要がある場合、メインの前に追加のルートを追加し、そのような従業員が複数いる場合は、CIDフィールドに番号または番号テンプレートを必ず指定する必要があります。









また、特にオペレーターの側で制限されていない場合は、トランクの設定で同時発信コールの数を常に指定する必要があります（10人の従業員は100の発信コールを行うことはできません）が、不正な呼び出しの場合、クラッカーは最大数の呼び出しを試行します。

接続→トランク→トランク設定→一般

次によくある間違いは、時間制限なしで、「空のキューを残す」という条件なしでコールキューを作成することです。 このアクションは、着信コールの支払いに番号8-800を使用する場合、特に危険です-特定の部門が通信せずに放置される場合があり（スイッチがハングアップし、ライトが消え、ラットがツイストペアを食べました）、それに対する着信コールはキューに送信され続け、それらは特に頑固です発信者は、回線で何時間も待つことができます。

8-800を使用しないと問題が発生する可能性がありますが、通信事業者は同時着信コールの数を制限するか、銅線またはストリームを使用します。 この場合、チャネルリソースは単に発信者への音楽の再生に費やされ、その結果、すべての着信チャネルが空のキューで待機している状況が発生する可能性があります。 そのため、常にキューでの待機時間を制限し、空のキューでの呼び出しを防止する必要があります。

アプリケーション→キュー→キュー設定→時間とエージェント設定

アプリケーション→キュー→キュー設定→キュー容量設定

もちろん、ボイスグリーティングとボイスメニューは、FreePBXに切り替えることを決めたほぼすべての組織で使用される便利で必要な機能ですが、それらを設定するときにミスがしばしば発生します。 まず、Greetingモジュール、つまり、スキップできない（またはユーザーに通知するのを忘れがちなキーを押すことでスキップできる）音声クリップを再生するだけで、緊急の必要がある場合にのみ使用する必要があります。 あいさつに1分間のビデオがどのように配置されるかを見る機会がありましたが、それが必要な部門を選択するための提案を含むIVRが必要になります。 顧客が初めて電話をかけるとき、これは普通に認識されますが、1時間に5回電話をかけ直し、会社がどのように電話に満足しているかについて5回続けて聞くと、それを疑い始めます。 クライアントは、ボタン2を押して目的の部門に切り替える必要があることを既に確実に知っていますが、ときどき挨拶全体を聞くことを余儀なくされています。 Cheersの使用を最大限に減らし、IVRを使用して直接ダイヤルを有効にします。これにより、クライアントの待ち時間が短縮され、イライラすることはありません。



IVR Interactiveメニューを作成する場合でも、誤った入力のデフォルト設定を変更するのを忘れがちです-ルールに記載されていないキーを押すと、クリップが数回繰り返されます。 このような動作は、選択が必要な場合（非常にまれなケース）にのみ適切であり、最初のウェルカムボイスメニューでは完全に不適切です。 音声メニューの繰り返しをオフにして、コールをデフォルトの宛先（秘書、マネージャーキューなど）に転送します。 ダイヤルタイムアウトについても同じことが言えます。

アプリケーション→インタラクティブメニュー（IVR）→IVR設定

FreePBXでこれらのエラーやその他のエラーが除外されていることを確信していない場合、安全を感じたい場合は、IPテレフォニーの分野で長年の経験を持つ専門家に連絡してシステムを監査し、発生したすべてのエラーを修正してください。