Главная Документация FlySip Softswitch Системные концепции Управление безопасностью

Управление безопасностью

S
Автор Sergiiy
Обновлено 1 год назад

В этом документе описываются способы повышения безопасности и защиты вашей системы от мошенничества.

В списке представлен обзор текущих функций безопасности FlySip:

  • Сложные пароли  - шаблон пароля по умолчанию состоит минимум из 7 буквенно-цифровых цифр. Шаблоны паролей настраиваются нашей службой поддержки для каждой учетной записи.
  • Индикатор надежности пароля.  Надежность пароля отображается для пользователей по истечении срока действия паролей пользователей или при их создании в первый раз (начиная с версии 5.2).
  • Многофакторная аутентификация  . Операторы коммутатора могут включить многофакторную аутентификацию для веб-пользователей. У пользователей будет возможность использовать систему на основе электронной почты или аутентификацию Google (начиная с FlySip 2020).
  • SSL-сертификаты —  SSL-сертификаты могут быть сгенерированы программным коммутатором через  Let's Encrypt. Это бесплатная услуга, если для вашего софтсвича назначено доменное имя. Пользователи по-прежнему могут  загружать свои собственные SSL-сертификаты  для своей системы.
  • Зашифрованные пароли  — пароли шифруются при сохранении и не могут быть извлечены из базы данных.
  • Отдельные учетные данные VoIP для дайджест-аутентификации  — разные учетные данные веб-трафика и SIP-трафика для учетных записей, доступности и безопасности пользователей.
  • Усовершенствованная аутентификация трафика VoIP  — комбинированная аутентификация удаленного IP-адреса, входящего CLI и входящего CLD для аутентификации трафика к учетной записи.
  • Ограничения сеансов учетной записи  . Общие ограничения сеансов (входящие/исходящие вместе) защищают каждую учетную запись от переполнения трафиком в результате взлома учетной записи.
  • Ограничения CPS учетной записи  . Ограничения CPS защищают учетную запись от наводнения трафика, возникающего в результате взлома учетных записей.
  • Система токенов баланса учетной записи  . Баланс учетной записи в режиме реального времени применяет логику к попыткам входящих вызовов, ссылаясь на оставшийся баланс/кредит, стоимость/скорость вызовов и текущие вызовы, чтобы разрешить прохождение дополнительных вызовов.
  • Встроенный брандмауэр  для дополнительного уровня сетевой безопасности  — правила брандмауэра для веб-трафика, SSH, БД и SIP-трафика.
  • Ограничение управления доступом в Интернет  — ограничение доступа сотрудников в Интернет к указанным IP-адресам/местоположениям.
  • Журналы пользовательского аудита  . Отслеживайте изменения, внесенные персоналом, и отслеживайте, когда и откуда они получают доступ к программному коммутатору.
  • Ограничения канала подключения и CPS  — ограничительная маршрутизация и ограничение вызовов в указанные вышестоящие расположения.
  • Настройте шаблон password_policy по умолчанию.  Для настройки попросите группу поддержки предоставить вам параметры по умолчанию, которые использует ваша система, и при необходимости измените их.
  • Внутренняя структура (FlySip B2BUA и RTPproxy) гарантирует, что FlySip не будет удаленно уязвим для общеотраслевых атак безопасности и мошенничества.
  • Правильное значение ACD, установленное в тарифе , с ACD=Max time session, система никогда не опустит баланс Счета или Клиента ниже нуля, недостатком этой функции безопасности является то, что она может привести к сбросу некоторых вызовов.
  • Прозрачный  внешний брандмауэр  рекомендуется для обработки сложных правил и защиты сетевой карты от перегрузки трафика/пакетов или любой DDOS-атаки.
  • Используйте PIN-коды для ваучеров,  если они используются.
  • Используйте PIN-коды для учетных записей  , если используются телефонные карты.
  • Избегайте использования правил аутентификации только с CLI/CLD , IP-адрес обеспечивает дополнительную безопасность аутентификации.
  • Используйте аутентификацию по поставщику/соединению в правилах аутентификации DID,  если в сценарии используются DID.
  • Маскируйте топологию вашей сети, используя функцию ретрансляции мультимедиа  , которая проксирует RTP и скрывает исходный IP-адрес устройства.
  • Используйте свой собственный VPN-сервер, если ваши сотрудники используют динамический IP-адрес.   Такой подход сделал бы подключение к серверу FlySip более безопасным, позволил бы настроить веб-брандмауэр и ограничить подозрительные попытки доступа к web/db/ssh с неизвестных IP-адресов.
  • Внутренняя структура (FlySip B2BUA и RTP Proxy) гарантирует, что FlySip не будет удаленно уязвим для общеотраслевых атак безопасности и мошенничества.


Программный коммутатор FlySip был разработан с функциями безопасности, которые соответствуют нашей цели — создать самый безопасный программный коммутатор на рынке.


Контроль веб-доступа

Функция  управления веб-доступом  позволяет владельцу софтсвича FlySip указать точный список IP-адресов для доступа в Интернет. Каждый конкретный веб-пользователь может быть указан в меню «Мои настройки» Заказчика или веб-пользователя. Таким образом, только перечисленные IP-адреса могут войти в Интернет с учетными данными этого пользователя.
По умолчанию владелец увидит значение «Любой» в поле «Разрешенные хосты». «Любой» означает, что любой может получить доступ к веб-интерфейсу с правильным логином и паролем. Вы можете указать список IP-адресов со значениями, разделенными запятыми; в этой конфигурации только клиенты из списка или IP-адресов смогут войти в веб-интерфейс при условии, что они имеют правильный логин и пароль.  В «Моих настройках» вашего собственного пользователя:

В разделе «Управление системой» -> «Пользователи»:
Инструмент IP Firewall

Инструмент IP firewall позволяет ограничить доступ к базе данных, веб-интерфейсу, SSH или SIP-трафику со статических IP-адресов. Вы можете добавить правила в список брандмауэра в следующем меню: «Инструменты» > «IP-брандмауэр» (для справки см. снимок экрана).


Брандмауэр IP можно настроить только для статических IP-адресов. Также обратите внимание, что сетевая маска должна быть 255.255.255.255, если вы хотите заблокировать или разрешить только один конкретный IP-адрес. В случае динамического IP мы предлагаем использовать доверенный VPN-сервер для доступа к веб-интерфейсу софтсвитча.

Начиная с версии FlySip 5.1 (или более поздней) существует функция безопасности, которая предупреждает оператора программного коммутатора (если у него есть права на редактирование правил брандмауэра) разрешить доступ к коммутатору с известных IP-адресов и запретить доступ к любому неизвестному IP-адресу. Предупреждение управляется из раздела «Предупреждения безопасности» в инструменте IP-брандмауэра в зависимости от типа брандмауэра (DB, SIP, SSH или Web). Если используется внешний брандмауэр, предупреждение можно отключить, сняв флажок с флажка:

ВЫ ПОЛУЧИЛИ ОТВЕТ НА СВОЙ ВОПРОС?

Оцените эту статью
close-image
full-image