标签: PBX

PBX 提供商永远不会对 VoIP 安全过于谨慎。当涉及到系统的远程访问时尤其如此。如何理解远程访问？

一方面，客户可能要求能够通过互联网远程访问他们的电话系统。对于经常出差的人以及地理位置分散的地点或员工来说，这种远程连接很方便并且通常是必需的。

另一方面，PBX 提供商可能需要建立远程连接以提供远程 PBX 技术支持、排除网络问题并解决问题，而无需派技术人员到现场。

众所周知，本地系统通常仅限于实体办公室。传统上，要远程访问本地系统，PBX 提供商必须通过棘手的 PBX 服务器和网络设置，这可能会带来潜在的安全风险。

劳格科技一直在寻找最佳解决方案来帮助本地和软件 PBX 用户保护他们的远程访问并简化配置，我们做到了。通过创新的SparkleCommVoIP服务和远程管理工具，远程连接只需点击一下，IT 和安全问题最少。

1. 对于 PBX 最终用户

用于远程业务通信和协作的安全隧道服务

挑战

为了尝试为远程和移动用户提供远程访问，大多数本地 PBX 提供商将推荐端口转发。但这根本不是一个好主意。端口转发需要复杂的服务器和网络设置。更糟糕的是，它会通过在防火墙上打开一个端口来冒潜在攻击的风险，攻击者可以通过该端口轻松完全控制电话系统。

解决方案

SparkleComm提供创新的隧道服务，让您摆脱危险的端口转发、棘手的服务器设置和麻烦的 NAT 问题，因此您无需担心将您的 Intranet 暴露给公众，浪费时间在复杂的部署，或不稳定的通话质量发生并影响您的远程业务通信。最棒的是，您只需单击一下即可享受无忧且安全的远程通信。

解决方案的安全性如何？

（1）、独立的私人连接

保护您的公司免受 PBX 网络渗透以及随后的收费欺诈、数据泄露和网络攻击等问题的潜在风险。SparkleComm 隧道服务提供隧道服务器作为 PBX 与其远程 SIP 端点之间的数据传输的中间服务器。您的 PBX 的 IP 地址不会向公众公开。所有远程连接都是直接的、秘密的，并且通过帐户身份验证得到双重保护。

（2）、牢不可破的加密

PBX 和隧道服务器之间的所有传输都是加密的。每个 PBX 都有自己的加密密钥。即使隧道服务器被黑客破坏，由于数据是加密的，因此很难更换隧道服务并获取原始传输数据。

（3）、每服务远程访问授权

SparkleComm 隧道服务提供先进的访问控制，以确保进一步的安全性。您可以允许或阻止 Web 访问、Linkus 访问、SIP 注册、LDAP 和 API 的远程访问，按分机或部门自定义远程访问授权，并应用 IP 限制以进一步保护所有远程访问。

  2. 对于 PBX 经销商、MSP 和提供商等

设备远程监控与管理

挑战

在远程支持方面，大多数 PBX 提供商会建议在计算机上安装远程桌面软件或为 PBX 进行端口转发，但这两种方法都会打开一个端口，这很容易被黑客利用。更重要的是，弱远程连接可以使网络犯罪分子很容易闯入会话并访问客户的计算机或电话系统。

解决方案

通过SparkleComm的全方位电话系统，SparkleComm允许合作伙伴以安全的方式远程管理和配置客户端SparkleCommPBX系统和VoIP网关。

无需端口转发或 VPN，它提供加密设备远程连接、全天候远程系统监控和警报，最重要的是，基于权限的远程系统配置。当在客户的设备上检测到问题时，您会立即收到通知，并且可以在不牺牲系统安全性的情况下迅速采取行动。

解决方案的安全性如何？

（1）、银行级远程连接

所有远程连接都是 HTTPS 安全的，并在加密的 SSH 隧道中进行，以最大限度地减少网络暴露并最好地保护数据的完整性和机密性。

（2）、连接认证

通过在客户端设备上确认SparkleComm ID 或通过在客户端设备上验证一次性远程连接验证码来连接远程设备。两种认证方式都需要客户端确认，有效防止设备被恶意连接和数据泄露。

（3）、基于角色的访问控制

添加同事帐户以共同管理客户的设备。通过限制帐户权限，您可以实现精细化管理，并确保对远程设备的访问仅限于授权工程师进行维护操作。

（4）、远程访问超时机制

SparkleComm远程管理提供了一个强大的超时机制来限制每次远程设备配置的时间，这意味着在配置的时间之后，访问远程设备的 URL 将失效，访问将被终止。

  从今天开始保护您的 VoIP 通信

保护语音流量的组织比那些闲置的组织更有弹性。像SparkleComm这样信誉良好的 PBX 系统可以保证您需要维护一个安全的呼叫环境。

凭借在 VoIP 行业多年的专业知识，劳格科技一直在设计具有现代企业发展所需的正确功能、灵活性和安全性的SparkleComm VoIP PBX 电话系统。无论您需要云 PBX 系统还是基于软件的电话系统，您都可以信赖我们提供行业领先的产品和服务。  

2021 年，电信欺诈损失达 1.8 万亿美元，其中 PBX 和 VoIP 欺诈位居榜首。当威胁变得不可预测时，安全是关键。VoIP 黑客和攻击可能来自 Internet 或电话线路，旨在利用任何漏洞并最终使您的组织面临收费欺诈和机密信息盗窃的风险。

那么如何保护对业务至关重要的 PBX 系统免受潜在的网络威胁和内部渎职？

6 种常见的 VoIP 漏洞和攻击

为避免 VoIP PBX 电话系统出现安全漏洞，了解潜在漏洞和常见的网络攻击类型非常重要。

潜在的 PBX 安全漏洞

用户名和密码薄弱或被盗

后门和应用程序漏洞

访问控制不佳

未加密的连接

人为错误导致的数据泄露

常见的网络攻击类型和 VoIP 安全措施

1. 收费欺诈

攻击行动：从您的 VoIP 网络拨打国际电话，费用由您承担。

攻击目的：产生大量国际电话至收费电话号码，然后收取收入。

2. 侦察

攻击行动：在发动实际攻击之前收集有关目标的所有可能信息。

攻击目的：识别漏洞和弱点，然后创建成功的漏洞利用。

3. 拒绝服务 (DoS)

攻击行动：用大量请求淹没服务器并耗尽其所有带宽。

攻击目的：阻止用户访问连接的在线服务或站点。

4. 欺骗

攻击行动：冒充受害者信任的个人或公司。

攻击目的：获取个人信息或窃取数据。

5. 中间人

攻击行动：窃听两个目标之间的通信。

攻击目的：窃取敏感数据，例如登录凭据、帐户详细信息和信用卡号。

6. 网络电话垃圾邮件 (SPIT)

行动：通过 VoIP 向连接到 Internet 的电话发送大量和不请自来的机器人呼叫和语音邮件。

目的：诱骗受害者接听或收听自动电话，收取高额国际电话费。

  如何保护您的 VoIP 电话系统  

网络攻击的复杂性和种类不断增加，不同类型的攻击针对不同的恶意目的。虽然每种攻击的对策不同，但良好的安全策略有助于降低风险。在许多情况下，保护 PBX 电话系统的最佳方式是实施多层安全解决方案。这意味着您需要部署多种防御措施来保护电话系统的脆弱点。每一层都增加了整体保护并继续提供系统防御，即使其中一层被破坏。

以下是可以执行的一些最佳实践，为您的 VoIP 电话系统构建多层保护。

1. 保持更新您的 PBX 和 SIP 端点

最新的固件或软件版本就像保护罩一样保护您的 PBX 或 SIP 终端免受安全威胁。通常，最新版本通常是最安全的，因为会发现并修复错误和其他漏洞。此外，随着技术的不断发展，一些关键的安全功能或保护层仅在最新版本上得到支持。

2. 防御网络安全威胁

您组织的网络是抵御网络犯罪的第一道防线。如果黑客获得了对您组织支持 VoIP 通信的网络的访问权限，则可能导致拒绝服务 (DoS) 攻击或服务质量 (QoS) 显著下降。为防止这种情况发生，您需要避免将 PBX 的内网暴露给公众，并阻止未经授权的访问。

最佳实践 1 避免端口转发

为了尝试为远程和移动用户提供远程访问，大多数本地 PBX 提供商将推荐端口转发。但这根本不是一个好主意。

本质上，端口转发将公共 IP 地址上的外部端口映射到私有局域网 (LAN) 内的 PBX。这会将您的 PBX 暴露在 Internet 上并带来潜在风险，因为黑客可能会通过转发端口渗透您的网络。事实上，通过端口转发进行黑客攻击一直是黑客发起攻击的最常见方式。

您将需要一种更安全的方法来维护所需功能的远程访问，同时避免使用暴露 LAN 的端口转发。

为了解决这个难题，您可以利用SparkleComm VoIP电话服务。SparkleCommVoIP电话系统服务采用工业级云和加密技术，为 PBX 的远程 SIP 访问和业务通信创造了一种更安全的方式。它不仅避免了 PBX 端口转发，而且通过精细的权限控制来双重保护系统。您可以决定允许哪些 IP 地址和分机帐户通过该服务远程访问您的 PBX，以及允许哪些 PBX 服务进行远程访问。

最佳实践 2 阻止未经授权访问您的 PBX

阻止对您的 PBX 的不必要和未经授权的访问可以显著降低您的系统被黑客入侵的可能性。这是防止电话窃听和减轻对您的业务造成的潜在损害和财务损失的重要步骤。

（1）、限制对 PBX 管理员门户的访问

SparkleComm PBX系统预配置了 3 种基于角色的帐户：超级管理员、管理员和自定义用户。每个角色都已包含相应的管理权限。您还可以创建具有特定管理权限的自定义角色以满足用户需求。只有具有管理权限的用户才能访问管理员门户以配置授予其角色的系统功能。

在实施基于角色的访问控制时，您只向用户角色授予必要的权限，并确保将角色授予正确的个人，从而规范安全权限控制的人员和内容。

（2）、限制来自特定国家或地区的系统访问

如果您发现来自特定国家或地区对您的 PBX 的攻击有所增加，您可以使用地理限制（也称为地理封锁）来阻止特定地理位置的访问者访问 PBX。通过对照 PBX 的数据库检查访问者的 IP 地址，可以拒绝未经授权的访问。

（3）、使用防火墙规则限制系统访问

SparkleComm PBX 系统内置防火墙规则，只接受可信流量。您还可以在SparkleComm PBX 上创建防火墙规则，以允许或阻止来自特定源 IP 地址/域、端口和 MAC 地址的流量。这样，可能导致攻击欺诈或呼叫丢失的可疑访问将被自动阻止。

为了防止大量连接尝试或暴力攻击，您还可以利用SparkleComm PBX 内置的 IP等级保护功能来定义特定时间间隔内允许的 IP 数据包数量。如果任何 IP 发送超过限制的 IP 数据包，系统将自动阻止该 IP。

3. 降低 SIP 通信风险

SIP 中继通常用于将语音数据包从您的组织传输到预期的接收者。任何干扰都可能导致通话质量下降、通话完全断开、窃听等。为了保护 SIP 中继，最好的方法是限制呼出电话并加密通话。

最佳实践 1 设置呼出规则

（1）、不同时间段的不同规则

黑客攻击通常发生在非工作时间、周末和系统人少的假期期间。您可以利用时间条件功能对不同时间段实施不同的呼入或呼出限制规则，以加强自动控制。例如，您可以创建一个名为“假期”的时间条件，并通过将时间条件应用于出站路由来禁用假期期间的出站呼叫。

（2）、只允许需要的人使用

您的员工在公司执行不同的任务，并非所有员工都需要拨打长途或国际电话。考虑为不同的中继（例如本地、长途和国际）配置不同的出站路由，并且只将出站路由权限分配给需要使用它的用户。

（3）、限制外呼频率

一旦黑客侵入您的电话系统，他们可以通过拨打大量电话轻松赚取数万美元。建议您设置在预设时间间隔内可以拨打的呼出电话数量限制。

（4）、限制通话信用并取消自动续费

电信提供商通过对公司能够产生的计费电话数量设置上限来保护客户免受高昂的通话费用的影响。限制信用额度并取消自动充值将有助于最大限度地减少因收费欺诈造成的损失。

最佳实践 2 加密呼叫

加密您的通信可以防止窃听或篡改所有端点之间的音频流。

（1）、使用 TLS 加密信令

传输层安全 (TLS) 是证书形式的安全层，在授予访问权限之前必须对其进行身份验证。启用 TLS 后，您的用户的姓名和电话号码将被隐藏，无法通过窥探来检索。

（2）、使用 SRTP 加密媒体

为了加强安全性，TLS 应该与您的SparkleComm 电话系统上的 SRTP 一起使用。这些可确保 SIP 信令和SparkleComm 音频/视频会话免受任何恶意活动的影响。

4. 强化 SIP 扩展

当未经授权访问 SIP 扩展时，中断的可能性尤其显著。犯罪分子可以利用您的电话系统拨打电话并发起其他恶意攻击。实施强密码策略并对分机注册施加限制将有助于保护 SIP 分机。

最佳实践 1  使用强密码

弱密码可能会留下黑客可以轻松利用的潜在安全漏洞。为此，您的 PBX 中的每个必需功能都应使用强密码。通常，SparkleComm PBX 有分机注册、管理网页界面、用户网页界面和语音邮件的密码。您可以通过以下方式保护密码：

.a.避免使用最常见的或系统默认密码。 b.使用至少 8 个字符的强密码，包括大写、小写和数字的混合。 c.为不同的帐户使用不同的密码。

最佳实践 2 限制扩展注册

SparkleComm VoIP系统具有强大的防黑客机制来保护 SIP 注册安全，例如将分机注册限制在 LAN 范围内，并针对过多的注册失败尝试阻止 IP 地址。此外，您还可以选择以下选项来加强安全性： . a.限制扩展可以注册的 IP 地址。

b.配置一个与一般默认用户名完全不同的复杂认证名称。

c.根据电话的用户代理设置限制。

5. 制定应急计划

尽管可以采取多种措施来保护您的 PBX，但没有绝对的安全。如果攻击者成功渗透到您的 PBX 或迫使您的 PBX 失败，您应该有一个应急计划。

最佳实践 1 建立对系统事件的实时监控、记录和警报

利用事件日志来监控和记录 PBX 上的异常操作，并订阅关键事件。当出现问题时，您可以及时收到通知，快速找出问题所在并制定解决方案。

如果您使用的是SparkleComm PBX系统，您可以在以下两个平台上实现实时监控：

a.PBX 管理员门户：管理单个 PBX。

b.SparkleComm 远程管理：集中监控和管理众多客户驻地 PBX。

最佳实践 2 安排自动备份

a.安排定期备份。如果您的 PBX 无法工作，您可以重置它并从备份文件中恢复配置，以确保快速恢复。

b.将备份存储在外部位置，以防止因物理破坏或盗窃而丢失数据的风险。

c.应用备份保留策略，这有助于限制历史数据和过时数据的数量。

最佳实践 3 实施冗余解决方案

（1）、本地 PBX 系统的热备（基于硬件和软件）

SparkleComm PBX 系统免费提供热备功能，可让您创建镜像服务器对，并在发生故障时立即恢复。部署该方案需要两台完全相同的PBX服务器，在以下几个方面应该完全相同：产品型号、固件和硬件版本、软件配置、局域网设置、硬件安装。

设置热备后，可以实现以下目标：

a.在发生任何故障时快速 1 到 10 秒自动恢复。

b.成对的主用和热备用 PBX 服务器之间共享虚拟 IP，确保在主用服务器出现故障时系统完全切换到备用服务器，包括连接到 PBX 的所有 IP 电话和第三方集成。

c. 发生故障转移事件时通过电子邮件或电话进行即时电子邮件通知

(2)、云 PBX 的高可用性

可靠性不是云的特性；这是一个要求。SparkleComm云PBX服务在基于集群的环境中交付并由SparkleComm管理，具有高可用性冗余部署，可增强灾难恢复，这在许多单实例云部署中是不具备的。

PBX 实例部署为主备对，即热备模式，以支持无缝故障转移。我们还利用主动负载平衡来确保 SBC 服务器之间的最佳资源利用率。这些服务器分布在全球各个地区，为整个服务增加了更多的弹性。有更多内置的安全机制来防范恶意攻击。