Чек лист: «Как выбрать телефонию для бизнеса»
У меня не российский номер

Нажимая кнопку, вы соглашаетесь на обработку персональных данных.

  • Санкт-Петербург
  • Москва
  • Архангельск
  • Астрахань
  • Барнаул
  • Белгород
  • Брянск
  • Владивосток
  • Волгоград
  • Вологда
  • Воронеж
  • Екатеринбург
  • Иваново
  • Ижевск
  • Казань
  • Калининград
  • Калуга
  • Кемерово
  • Киров
  • Коломна
  • Кострома
  • Краснодар
  • Красноярск
  • Курган
  • Курск
  • Липецк
  • Магнитогорск
  • Мурманск
  • Набережные Челны
  • Нижний Новгород
  • Новокузнецк
  • Новосибирск
  • Омск
  • Орел
  • Оренбург
  • Пенза
  • Пермь
  • Ростов-на-Дону
  • Рязань
  • Самара
  • Саратов
  • Севастополь
  • Смоленск
  • Сочи
  • Ставрополь
  • Сургут
  • Тверь
  • Томск
  • Тула
  • Тюмень
  • Ульяновск
  • Уфа
  • Хабаровск
  • Челябинск
  • Череповец
  • Ярославль
+7 (812) 336-42-42
Перезвоните мне
Личный кабинет
+7 (812) 336-42-42

Телефония для бизнеса

  • Санкт-Петербург
  • Москва
  • Архангельск
  • Астрахань
  • Барнаул
  • Белгород
  • Брянск
  • Владивосток
  • Волгоград
  • Вологда
  • Воронеж
  • Екатеринбург
  • Иваново
  • Ижевск
  • Казань
  • Калининград
  • Калуга
  • Кемерово
  • Киров
  • Коломна
  • Кострома
  • Краснодар
  • Красноярск
  • Курган
  • Курск
  • Липецк
  • Магнитогорск
  • Мурманск
  • Набережные Челны
  • Нижний Новгород
  • Новокузнецк
  • Новосибирск
  • Омск
  • Орел
  • Оренбург
  • Пенза
  • Пермь
  • Ростов-на-Дону
  • Рязань
  • Самара
  • Саратов
  • Севастополь
  • Смоленск
  • Сочи
  • Ставрополь
  • Сургут
  • Тверь
  • Томск
  • Тула
  • Тюмень
  • Ульяновск
  • Уфа
  • Хабаровск
  • Челябинск
  • Череповец
  • Ярославль
+7 (812) 336-42-42
  1. Главная
  2. Настройка IP-АТС на линию сети Телфин на примере программного продукта Asterisk

Настройка IP-АТС Asterisk (SIP и PJSIP) на линию сети Телфин с возможностью резервирования входящей и исходящей связи и возможностью самостоятельно передавать АОН

Мы предлагаем два варианта настройки с возможностью резервирования входящей и исходящей связи и самостоятельной передачи АОНа

    1. Вариант — статическое взаимодействие (рекомендуемый)

    2. Вариант — динамическое взаимодействие

В обоих вариантах во входящем вызове от серверов Телфин на АТС вызываемый номер будет передаваться в формате E.164, например 78123364242.

Оба варианта подключения подразумевают наличие в личном кабинете Телфин(переход на работу через) только одной(у) линии(ю) вида 000ААААА с подключением(переносом) на неё всех ваших номеров. Для того, чтобы наш сервер начал доверят указываемому вашей АТС АОН-у, необходимо написать соответствующий запрос в нашу тех. поддержку support@telphin.ru с указанием ваших доверенных статисческих IP-адресов и номера линии, на которую нужно поместить все ваши номера.

Вариант 1 — статическое взаимодействие (рекомендуемый)

Статическое взаимодействие подразумевает создание статического SIP транка, используя в качестве транспорта сеть Интернет, между:

а) Серверами Телфин — общий адрес sip.telphin.com. В данном домене доступны SIP SRV записи: vip1.sip.telphin.com (213.170.92.166) и vip2.sip.telphin.com (46.229.221.86) для обеспечения резервирования.

SRV в Телфин — справка

Для обеспечения резервирования домену sip. telphin. com присвоена SRV запись:

_sip._udp.sip.telphin.com has SRV record 10 50 5060 vip1.sip.telphin.com.
_sip._udp.sip.telphin.com has SRV record 20 50 5060 vip2.sip.telphin.com.

где:

  • vip1.sip.telphin.com — адрес основного сервера телефонии
  • vip2.sip.telphin.com — адрес резервного сервера телефонии

НО!, в случае с Asterisk, даже при включении параметра «srvlookup», он неправильно обрабатывает приоритеты SRV записей, что приводит к ситуации не правильного использования адресов серверов телефонии. Поэтому, если оборудовании не поддерживает / не корректно поддерживает работу с SRV, необходимо отключить её(SRV) поддержку и, при настройке транков, использовать доменные адреса: vip1.sip.telphin.com и vip2.sip.telphin.com, как это описано ниже.

б) Клиентской IP-ATC — IP адрес должен быть публичным (внешним), доступным из сети Интернет. Это либо на АТС должен использоваться публичный IP-адрес, либо, если АТС находится в локальный сети / за NAT, внешний IP-адрес вашего маршрутизатора. НО, для корректности работы необходимо настроить проброс портов на маршрутизаторе в сторону АТС.

Варианты настройки конфигурации Asterisk с использованием модулей SIP и PJSIP

Справка к указаному ниже:
  • А.А.А.А — внешний статический IP-адрес сервера Asterisk, с которого должны уходить и приниматься вызовы Телфин
  • TELPHIN_LINE — линия сети Телфин вида 000АААААА
  • TELPHIN_PASSWORD — пароль от линии Телфин
  • 7ABCXXXXXXX и 7DEFXXXXXXX — выделенные номера, которые привязаны к линии Телфин TELPHIN_LINE

Настройка с использованием модуля SIP

Пример файла sip.conf
[general]
;externip="внешний IP адрес вашего роутера"            ;раскомментировать и заполнить актуальными данными, если Asterisk находится за NAT-ом
;localnet="внутренний ip адрес asterisk/маска"         ;раскомментировать и заполнить актуальными данными, если Asterisk находится за NAT-ом
;nat=force_rport,comedia                               ;раскомментировать, если Asterisk находится за NAT-ом
alwaysauthreject = yes                                 
srvlookup=no
dtmfmode=rfc2833
bindport=5090                                          ;в целях безопасности настоятельно рекомендуется изменить стандартный порт Asterisk-а 5060 на любой другой, например, 5090
directmedia=no
disallow=all
allow=ulaw:20                                          ; согласно https://wiki.asterisk.org/wiki/display/AST/RTP+Packetization
allow=alaw:20                                          ; согласно https://wiki.asterisk.org/wiki/display/AST/RTP+Packetization
allow=g729:20                                          ; согласно https://wiki.asterisk.org/wiki/display/AST/RTP+Packetization
;;транки(основной и резервный) линии с номерами 78120001122 и 74950001133
[telphin_TELPHIN_LINE_a]                                                           ;основной транк линии TELPHIN_LINE
context=telphin_in
type=peer
username=TELPHIN_LINE
fromuser=TELPHIN_LINE
secret=пароль от линии
host=vip1.sip.telphin.com
insecure=invite,port
qualify=no
port=5060
[telphin_TELPHIN_LINE_b]                                                           ;резервный транк линии TELPHIN_LINE
context=telphin_in
type=peer
username=TELPHIN_LINE
fromuser=TELPHIN_LINE
secret=пароль от линии
host=vip2.sip.telphin.com
insecure=invite,port
qualify=no
port=5060
SIP Пример файла extensions.conf
[telphin_out]                                                      ;исходящая связь через линию TELPHIN_LINE с возможностью использования резервного маршрута до сервера Телфин и подстановкой нужного АОН-а
exten=> _X.,1,SIPAddHeader(P-Asserted-Identity: <sip:7ABCXXXXXXX@sip.telphin.com>)
exten=> _X.,n,Dial(SIP/${EXTEN}@telphin_TELPHIN_LINE_a)
exten=> _X.,n,Gotoif($["${DIALSTATUS}"=="CHANUNAVAIL"]?sec_channel:hangup)
exten=> _X.,n(hangup),Hangup()
exten=> _X.,n(sec_channel),Dial(SIP/${EXTEN}@telphin_TELPHIN_LINE_b)
exten=> _X.,n,Hangup()
[telphin_in]                                                       ; Для входящих вызовов от Телфин
extension => 7ABCXXXXXXX,1,....
.....
extension => 7DEFXXXXXXX,1,....
.....

Настройка с использованием модуля PJSIP (16.3.0)

Пример файла pjsip.conf
[transport-telphin]
type=transport
protocol=udp
bind=А.А.А.А
symmetric_transport=no
external_signaling_address=А.А.А.А
[auth-telphin-trunk]
type=auth
auth_type=userpass
username=TELPHIN_LINE
password=TELPHIN_PASSWORD
realm=sip.telphin.com
[end-temp](!)
type=endpoint
context=telphin_in
transport=transport-telphin
media_address=А.А.А.А
outbound_auth=auth-telphin-trunk
callerid=TELPHIN_LINE
disallow=all
allow=alaw
allow=ulaw
direct_media=no
identify_by=ip
sdp_owner=ClientPBX
sdp_session=ClientPBX
dtmf_mode=rfc4733
; --- Trunk 1
[end-telphin-trunk-vip1](end-temp)
aors=aor-telphin-trunk-vip1
[aor-telphin-trunk-vip1]
type=aor
contact=sip:vip1.sip.telphin.com:5060
[identify-telphin-trunk-vip1]
type=identify
endpoint=end-telphin-trunk-vip1
match=vip1.sip.telphin.com
;----- Trunk 2
[end-telphin-trunk-vip2](end-temp)
aors=aor-telphin-trunk-vip2
[aor-telphin-trunk-vip2]
type=aor
contact=sip:vip2.sip.telphin.com:5060
[identify-telphin-trunk-vip2]
type=identify
endpoint=end-telphin-trunk-vip2
match=vip2.sip.telphin.com
Пример файла extensions.conf
[telphin_out]                                                      ;исходящая связь через TELPHIN_LINE с возможностью использования резервного маршрута до сервера Телфин и подстановкой нужного АОН-а
exten => _X.,1,Set(_SET_PAI=<sip:7ABCXXXXXXX@sip.telphin.com>)
exten => _X.,n,Set(CALLERID(num)=TELPHIN_LINE)
exten => _X.,n,Dial(PJSIP/${EXTEN}@end-telphin-trunk-vip1,,b(add_header_pai^add^1))
exten => _X.,n,Gotoif($["${DIALSTATUS}"=="CHANUNAVAIL"]?sec_channel:hangup)
exten => _X.,n(hangup),Hangup()
exten => _X.,n(sec_channel),Dial(PJSIP/${EXTEN}@end-telphin-trunk-vip2,,b(add_header_pai^add^1))
exten => _X.,n,Hangup()
[add_header_pai]
exten => add,1,Set(PJSIP_HEADER(add,P-Asserted-Identity)=${SET_PAI})
exten => add,n,Return()
[telphin_in]                                                       ; Для входящих вызовов от Телфин
extension => 7ABCXXXXXXX,1,....
.....
extension => 7DEFXXXXXXX,1,....
.....

Данная схема уже протестирована и является абсолютно рабочим вариантом

Для перехода на статическое взаимодействие вашей IP АТС с сервером Телфин, необходимо направить запрос на адрес нашей тех. поддержки по форме:
  • Куда: на адрес нашей тех. поддержки support@telphin.ru
  • От кого: ОБЯЗАТЕЛЬНО с контактного эл. адреса указанного в вашем личном кабинете
  • Тело запроса: Прошу для линии 000ХХХХХХ задать статический маршрут входящих вызовов с резервированием входящей связи на адрес(а) моей АТС (выберите один из вариантов)
    • sip:ALIAS-REGVIP1@IP-вашей-АТС-1:порт — основной и sip:ALIAS-REGVIP2@IP-вашей-АТС-1:порт — резервный (если у вашей АТС только один внешний IP-адрес)
    • sip:ALIAS-REGVIP1@IP-вашей-АТС-1:порт — основной и sip:ALIAS-REGVIP2@IP-вашей-АТС-2:порт — резервный (если у вашей АТС несколько внешних IP-адресов)

Вариант 2 — динамическое взаимодействие

Динамическое взаимодействие подразумевает создание динамического SIP транка, используя в качестве транспорта сеть Интернет, между:

а) Серверами Телфин — общий адрес sip.telphin.com. В данном домене доступны SIP SRV записи: vip1.sip.telphin.com (213.170.92.166) и vip2.sip.telphin.com (46.229.221.86) для обеспечения резервирования.

SRV в Телфин — справка

Для обеспечения резервирования домену sip.telphin.com присвоена SRV запись:

_sip._udp.sip.telphin.com has SRV record 10 50 5060 vip1.sip.telphin.com.
_sip._udp.sip.telphin.com has SRV record 20 50 5060 vip2.sip.telphin.com.

где:

  • vip1.sip.telphin.com — адрес основного сервера телефонии
  • vip2.sip.telphin.com — адрес резервного сервера телефонии

НО!, в случае с Asterisk, даже при включении параметра «srvlookup», он неправильно обрабатывает приоритеты SRV записей, что приводит к ситуации не правильного использования адресов серверов телефонии. Поэтому, если оборудовании не поддерживает / не корректно поддерживает работу с SRV, необходимо отключить её(SRV) поддержку и, при настройке транков, использовать доменные адреса: vip1.sip.telphin.com и vip2.sip.telphin.com, как это описано ниже.

б) Клиентской ATC — на АТС необходимо настроить отправку на сервера Телфин запросов на регистрацию (REGISTER) выданной вам линии, где параметрами АТС задаётся нужное значение заголовка Contact:

Варианты настройки конфигурации Asterisk с использованием модулей SIP и PJSIP

Справка к указаному ниже:
  • А.А.А.А — внешний статический IP-адрес сервера Asterisk, с которого должны уходить и приниматься вызовы Телфин
  • TELPHIN_LINE — линия сети Телфин вида 000АААААА
  • TELPHIN_PASSWORD — пароль от линии Телфин
  • 7ABCXXXXXXX и 7DEFXXXXXXX — выделенные номера, которые привязаны к линии Телфин TELPHIN_LINE

Настройка с использованием модуля SIP

Пример файла sip.conf
[general]
;externip="внешний IP адрес вашего роутера"            ;раскомментировать и заполнить актуальными данными, если Asterisk находится за NAT-ом
;localnet="внутренний ip адрес asterisk/маска"         ;раскомментировать и заполнить актуальными данными, если Asterisk находится за NAT-ом
;nat=force_rport,comedia                               ;раскомментировать, если Asterisk находится за NAT-ом
alwaysauthreject = yes                                 
srvlookup=no
dtmfmode=rfc2833
bindport=5090                                          ;в целях безопасности настоятельно рекомендуется изменить стандартный порт Asterisk-а 5060 на любой другой, например, 5090
directmedia=no
disallow=all
allow=ulaw:20                                          ; согласно https://wiki.asterisk.org/wiki/display/AST/RTP+Packetization
allow=alaw:20                                          ; согласно https://wiki.asterisk.org/wiki/display/AST/RTP+Packetization
allow=g729:20                                          ; согласно https://wiki.asterisk.org/wiki/display/AST/RTP+Packetization
;;раскомментировать команды register ниже при необходимости прохождения динамической регистрации на SIP сервере Телфин, указав актуальный номер линии
;register => TELPHIN_LINE:пароль@vip1.sip.telphin.com:5060/ALIAS-REGVIP1            ;регистрация на основном IP, вызовы через который будут направляться в первую очередь
;register => TELPHIN_LINE:пароль@vip2.sip.telphin.com:5060/ALIAS-REGVIP2            ;регистрация на резервном IP, вызовы через который будут направляться в случае неответа по основному маршруту
;;транк линии с номерами 78120001122 и 74950001133
[telphin_TELPHIN_LINE_a]                                                           ;основной транк линии TELPHIN_LINE
context=telphin_in
type=peer
username=TELPHIN_LINE
fromuser=TELPHIN_LINE
secret=пароль от линии
host=vip1.sip.telphin.com
insecure=invite,port
qualify=no
port=5060
[telphin_TELPHIN_LINE_b]                                                           ;резервный транк линии TELPHIN_LINE
context=telphin_in
type=peer
username=TELPHIN_LINE
fromuser=TELPHIN_LINE
secret=пароль от линии
host=vip2.sip.telphin.com
insecure=invite,port
qualify=no
port=5060
Пример файла extensions.conf
[telphin_out]                                                      ;исходящая связь через линию TELPHIN_LINE с возможностью использования резервного маршрута до сервера Телфин и подстановкой нужного АОН-а
exten=> _X.,1,SIPAddHeader(P-Asserted-Identity: <sip:7ABCXXXXXXX@sip.telphin.com>)
exten=> _X.,n,Dial(SIP/${EXTEN}@telphin_TELPHIN_LINE_a)
exten=> _X.,n,Gotoif($["${DIALSTATUS}"=="CHANUNAVAIL"]?sec_channel:hangup)
exten=> _X.,n(hangup),Hangup()
exten=> _X.,n(sec_channel),Dial(SIP/${EXTEN}@telphin_TELPHIN_LINE_b)
exten=> _X.,n,Hangup()
[telphin_in]                                                       ; Для входящих вызовов от Телфин
extension => 7ABCXXXXXXX,1,....
.....
extension => 7DEFXXXXXXX,1,....
.....

Настройка с использованием модуля PJSIP (16.3.0)

Пример файла pjsip.conf
[transport-telphin]
type=transport
protocol=udp
bind=А.А.А.А
symmetric_transport=no
external_signaling_address=А.А.А.А
[auth-telphin-trunk]
type=auth
auth_type=userpass
username=TELPHIN_LINE
password=TELPHIN_PASSWORD
realm=sip.telphin.com
[reg-telphin](!)
type=registration
transport=transport-telphin
outbound_auth=auth-telphin-trunk
retry_interval=60
expiration=60
client_uri=sip:TELPHIN_LINE@sip.telphin.com
[reg-trunk-vip1](reg-telphin)
server_uri=sip:vip1.sip.telphin.com
contact_user=ALIAS-REGVIP1
[reg-trunk-vip2](reg-telphin)
server_uri=sip:vip2.sip.telphin.com
contact_user=ALIAS-REGVIP2
[end-temp](!)
type=endpoint
context=telphin_in
transport=transport-telphin
media_address=А.А.А.А
outbound_auth=auth-telphin-trunk
callerid=TELPHIN_LINE
disallow=all
allow=alaw
allow=ulaw
direct_media=no
identify_by=ip
sdp_owner=ClientPBX
sdp_session=ClientPBX
dtmf_mode=rfc4733
; --- Trunk 1
[end-telphin-trunk-vip1](end-temp)
aors=aor-telphin-trunk-vip1
[aor-telphin-trunk-vip1]
type=aor
contact=sip:vip1.sip.telphin.com:5060
[identify-telphin-trunk-vip1]
type=identify
endpoint=end-telphin-trunk-vip1
match=vip1.sip.telphin.com
;----- Trunk 2
[end-telphin-trunk-vip2](end-temp)
aors=aor-telphin-trunk-vip2
[aor-telphin-trunk-vip2]
type=aor
contact=sip:vip2.sip.telphin.com:5060
[identify-telphin-trunk-vip2]
type=identify
endpoint=end-telphin-trunk-vip2
match=vip2.sip.telphin.com
Пример файла extensions.conf
[telphin_out]                                                      ;исходящая связь через TELPHIN_LINE с возможностью использования резервного маршрута до сервера Телфин и подстановкой нужного АОН-а
exten => _X.,1,Set(_SET_PAI=<sip:7ABCXXXXXXX@sip.telphin.com>)
exten => _X.,n,Set(CALLERID(num)=TELPHIN_LINE)
exten => _X.,n,Dial(PJSIP/${EXTEN}@end-telphin-trunk-vip1,,b(add_header_pai^add^1))
exten => _X.,n,Gotoif($["${DIALSTATUS}"=="CHANUNAVAIL"]?sec_channel:hangup)
exten => _X.,n(hangup),Hangup()
exten => _X.,n(sec_channel),Dial(PJSIP/${EXTEN}@end-telphin-trunk-vip2,,b(add_header_pai^add^1))
exten => _X.,n,Hangup()
[add_header_pai]
exten => add,1,Set(PJSIP_HEADER(add,P-Asserted-Identity)=${SET_PAI})
exten => add,n,Return()
[telphin_in]                                                       ; Для входящих вызовов от Телфин
extension => 7ABCXXXXXXX,1,....
.....
extension => 7DEFXXXXXXX,1,....
.....

Обязательный формат заголовка PAI ожидаемый сервером Телфин:

P-Asserted-Identity: <sip:e164YourTelphinNumber@domain>
Пример: P-Asserted-Identity: <sip:78120001122@sip.telphin.com>

Обязательно нужно проверить:

Рекомендации

1. Используйте параметр qualify значения yes/xxx(секунды), если модуль SIP, и параметр «qualify_frequency», если используете PJSIP, только при нахождении Asterisk за NAT-ом и только для поддержания открытым NAT соединения, если этого не удается достигнуть корректной работой проброса портов на роутере/маршрутизаторе.

Использование этих параметра для тестирования доступности сервера Телфин пакетами OPTIONS может привести к полному расходованию ограниченного количества доступных SIP сообщений с одного IP-адреса и как следствие ко временной блокировке вашего IP-адреса за SIP флуд.

2. На случай недоступности маршрута от Астериска до SIP сервера sip.telphin.com, в этом руководстве описано, как настроить работу с SIP сервером sip.telphin.com используя резервирование как входящей, так и исходящей связи.

В этом случае не забудьте указать его в том числе и в файле sip.conf в описании входящих каналов [telphin_TELPHIN_LINE_a] и [telphin_TELPHIN_LINE_b] в параметре «port» если используйте SIP или в файле pjsip.conf записи [aor-telphin-trunk-vip1] и [aor-telphin-trunk-vip2] в параметре «Contact» если используете модуль PJSIP.

Защита от взломов и мошенничества

Обращайте внимание на настройки безопасности вашей АТС.
Система фрод-мониторинга Телфин работает над выявлением случаев взлома и производит блокировку используемых мошенниками аккаунтов абонентов, однако для повышения защиты от злоумышленников, мы настоятельно рекомендуем Вам в том числе и САМОСТОЯТЕЛЬНО снижать риски, обращая внимание на настройки безопасности вашей АТС.

При использовании бесплатного программного продукта Asterisk, ответственность по поиску и устранению любых ошибок в работе и защите Asterisk-а лежит на его администраторе, т.к. данные вопросы относятся исключительно к настройке Asterisk-а, а не к настройкам на сервере телефонии.

Если вы сразу понимаете, что совершать вызовы на МН направления вы не будете, то:

Для любого клиента сети Телфин существует возможность запретить все вызовы за пределы РФ, что лишает злоумышленника возможности совершать вызовы через ваш аккаунт на МН направление даже в том случае, когда он смог получить ваши конфиденциальные SIP данные. Для этого необходимо написать соответствующий запрос на адрес info@telphin.ru с вашего контактного эл. адреса, указанного в данных личного кабинета.

Если за безопасное использование виртуальной АТС «Телфин.Офис» отвечают наши технические специалисты, то позаботиться о защищенном использовании телефонной станции других решений, вам придется самостоятельно. Поэтому рекомендуем ознакомиться с тем:

Как обезопасить телефонную сеть, которая работает на базе бесплатного решения Asterisk, от взлома и несанкционированного использования.

Минимальный список действий по предотвращению взлома(рекомендации приведены на примере программной АТС Asterisk, как самой распространенной):

  • Обязательно измените номер порта SIP, на котором происходит взаимодействие Asterisk с оборудованием Телфин и вашими внутренними телефонами. Оборудование Телфин поддерживает любой номер порта со стороны абонента. Также измените порты IAX и SSH.
    • SIP: Настройка порта производится в файле sip.conf в секции general, например для того чтобы настроить порт 6655 необходимо указать: bindport=6655
    • SSH: Новый порт не должен конфликтовать с уже открытыми в системе портами. Изменить его можно в файле /etc/ssh/sshd_config. Укажите новый номер порта SSH в настройке Port и раскомментируйте строку путем удаления знака #(решетка). Затем перезапите sshd командой: service sshd restart
    • IAX: Настройка порта производится в файле iax.conf. Измените порт на любой свободный и перезапустите Asterisk командой /etc/ininit. d/asterisk restart
  • Настройте ваш Firewall на пропуск сигнального SIP-трафика только для обмена с IP- адресом оборудования Телфин(при стандартном подключении это адрес sip.telphin.com/213.170.92.166/46.229.221.86);
    Для того, чтобы после настроек firewall-а не возникло проблем с прохождением голосового RTP(UDP) трафика, ввиду того, что на вашу АТС (при работе через сервер sip.telphin.com/213.170.92.166/46.229.221.86) он поступает напрямую с терминирующих узлов (списка которого нет, ввиду того что они могут меняться), необходимо в firewall-е разрешить весь UDP трафик по всем голосовым портам, используемым сервером АТС для обмена голосовым трафиком. При этом важно помнить, что эти порты должны быть доступны исключительно для обмена голосовым трафиком. Поэтому рекомендуем заранее определиться, что это будут за порты (по умолчанию в Asterisk-е это порты 10тыс.-20тыс) и отрыть только их.
  • Запретите правилами firewall-а подключение к вашему серверу АТС любым способом по рабочим портам, служащим для управления данным сервером, с произвольных IP-адресов сети интернет. Разрешите по ним доступ только с авторизованных вами IP-адресов.
  • Запретите правилами firewall-а подключение, с произвольных IP-адресов сети интернет, к вашей локальной сети, в которой находятся SIP-телефоны, работающие как с вашей IP-АТС, так и напрямую с сервером Телфин. Разрешите к ней доступ только с авторизованных вами IP-адресов.
  • Ограничьте правилами вашего Firewall, список адресов и сетей, с которых подключаются ваши IP-телефоны и адаптеры. Для данной настройки в Asterisk-e используйте параметры Deny/Permit. Например:
    • Deny=0.0.0.0/0.0.0.0
    • Permit=213.170.92.166
    • Permit=46.229.221.86
    • Permit=192.168.X.0/24
    • где:

      213.170.92.166 и 46.229.221.86 — адреса сервера регистрации Telphin,

      192.168.X.0/24 — пример диапазона IP адресов вашей локальной сети, из которой будет происходить подключение телефонов

  • Создайте пользователя с правами доступа только по SSH. Например, создайте пользователя asterisksshONLY(настоятельно рекомендуем придумать свой уникальный логин) и задать ему свой уникальный пароль. Пароль должен содержать спец.символы, цифры и буквы в разном регистре.
    • # useradd asterisksshONLY
    • # passwd asterisksshONLY
      Отредактируйте /etc/ssh/sshd_config, добавив в него следующую строчку: AllowUsers asterisksshONLY
    • Запретите пользователю root подключаться к серверу Asterisk по SSH: PermitRootLogin no;
  • Измените все стандартные пароли доступа к вашим ресурсам.
    В частности это пароли:
    • доступа в настройки SIP устройств, как на их веб.интерфейс, так и через командную строку,
    • абонентов в АТС,
    • администраторов и менеджеров АТС,
    • Использование сильных паролей — это шаг, возможно, наиболее важный в организации защиты любой сети! Если бы вы видели на сколько сложны и интеллектуальны средства подбора паролей, вы бы поняли, на сколько легко обходят тривиальное запутывание современные процессоры! Поэтому:

    • не создавайте паролей, которые состоят из двух слов!
    • не добавляйте к слову из словаря цифру 1!
    • используйте символы, числа и буквы верхнего и нижнего регистра!
    • длину пароля делайте не менее 12 символов!
  • Ограничьте количество одновременных исходящих вызовов, поступающих с ваших внутренних телефонов. В настройках Asterisk за это отвечает строка Call-limit=1, прописанная в настройках ваших внутренних абонентов; Так Вы ограничите действия мошенников, которые уже подобрали правильное имя пользователя и пароль. Следите за тем, чтобы легитимные пользователи хранили свои пароли в тайне, а не записывали пароль прямо на корпусе SIP телефона! Бывает и такое!
  • Блокируйте порт интерфейса управления Астериском (AMI).
    В файле конфигурации manager.conf используйте строки «permit=» и «deny=», чтобы сузить входящие соединения с интерфейсом управления только для доверительных хостов. Как и на этапе «Сильный пароль», создавайте сложные пароли длиной не менее 12 символов.
  • Отключите ответ о неверном пароле со стороны Asterisk. По умолчанию Asterisk выдает одну ошибку о неверном пароле для существующего аккаунта и другую для несуществующего аккаунта. Существует множество программ для подбора паролей, поэтому злоумышленнику не составит труда проверить все короткие номера и собирать пароли лишь к существующим аккаунтам, которые ответили «неверный пароль». Чтобы помешать этому, поменяйте строчку в файле /etc/asterisk/sip.conf: alwaysauthreject = no на alwaysauthreject = yes и перезапустите Asterisk. После такой настройки, Asterisk будет отвечать одинаково для любых неверных авторизации «401 Unauthorized» и не сообщать подробностей.
  • Ограничьте список доступных для набора телефонных кодов стран и направлений, которые используются вашими сотрудниками.
    • Не рекомендуется использовать дефолтные маршруты, типа Exten => _X.,1,Hangup.
    • Рекомендуется указывать маршруты по точным с кодам городов, операторов мобильной связи и МН кодов(если они вообще нужны), например: [+7|8][0-68]XXXXXXX, [+7|8]9ХХXXXXXXX, [+7|8]7ХХXXXXXXX и т.д.

На обычных линиях сети Телфин есть возможность авторизовывать вызовы по IP-адресу, с которого они приходят(в случае наличия у АТС статического внешнего IP-адреса) и полю «From», соответствующему номеру линии клиента. Это дает возможность вообще не указывать пароль устройства в настройках АТС(и тогда его невозможно будет выкрасть). Также можно попросить тех.поддержку Тефлин сменить текущий пароль линии для работы оборудования и не сообщать вам новый. Т.о. именно Телфин будет нести ответственность за сохранность текущего пароля ваших линий — до тех пор, пока вы не попросите сообщить вам снова пароль вашей линии. Для этого необходимо написать соответствующий запрос на адрес support@telphin.ru с вашего контактного эл.адреса, указанного в данных личного кабинета cabinet.telphin.ru.

В виртуальной АТС Телфин.Офис есть возможность жестко определить IP-адреса, с которых разрешена регистрация на добавочных. Настройка выполняется индивидуально для каждого добавочного. Данная настройка будет полезна в том числе и при настройке других АТС на добавочные «Телфин.Офиса». В случае необходимости выполнения данной настройки, необходимо написать соответствующий запрос на адрес support@telphin.ru с вашего контактного эл.адреса, указанного в данных личного кабинета cabinet.telphin.ru.

ОБРАЩАЕМ ВАШЕ ВНИМАНИЕ, что описанное выше не является панацеей и/или полным описанием всех возможных мер безопасности по защите вашей АТС. Но их соблюдение точно сведет к минимуму возможность позвонить через ваш аккаунт у оператора телефонии и тем самым сохранить ваши деньги.

Если вы желаете получить еще большую защиту, вы можете воспользоваться нашим решением Телфин.VoiceVPN.

Настоятельно рекомендуем ознакомиться с рекомендациями по соблюдению информационной безопасности VOIP-оборудования для избежания генерации несанкционированного трафика на МН-направления

Если вы нашли ошибку в данной статье, напишите, пожалуйста, нам о ней на адрес нашей технической поддержки support@telphin.ru.