分机注册安全

终端安全是多层安全策略中的第三道防线,防止攻击者注册、登录分机账号。Yeastar P 系列 IPPBX 内置防御规则,通过监控 SIP 分机的 注册尝试次数 防止恶意注册。你也可以通过限制 注册凭证同时注册数用户代理IP 地址 以及 远程注册 来增强分机注册安全。

多次注册失败账号锁定

Yeastar P 系列 IPPBX 内置账号锁定规则,当同一 IP 地址的注册失败次数达到上限后,系统会自动锁定账号,从而防止恶意注册。当账号被锁定时,PBX 会拉黑源 IP 地址,将此地址显示在 IP 禁止名单 中,并发送 分机注册被锁定 的事件通知给相关联系人。

为确保你能在账号锁定时及时收到通知,你需要启用事件通知,并设置接收通知的联系人。

  1. 进入 系统 > 事件通知
  2. 事件类型 页签下,启用 分机注册被锁定 通知。

  3. 通知联系人 页签下,添加联系人,用于接收事件通知。

收到事件通知后,你可以在 PBX 网页上查看详情 (路径:安全 > 安全规则 > IP 禁止名单)。

使用复杂的 SIP 注册凭证

简单的 SIP 注册凭证易给攻击者留下可乘之机。因此,需要设置复杂的名称和密码来保护分机的注册安全。

  1. 进入 分机和中继 > 分机,编辑分机。
  2. 分机信息 栏,设置复杂的认证名称和注册密码。
    提示: 以下是关于复杂凭证的一些建议:
    • 至少 8 个字符长。
    • 大写字母、小写字母和数字的组合。
  3. 点击 保存应用

限制分机的最大注册设备数

Yeastar P 系列 IPPBX 默认允许 1 个分机注册到 1 台设备上。除非你确实需要将 1 个分机注册到多台设备上,否则不要更改此限制规则。如需更改,可参考以下说明,增加分机的同时注册数上限:

  1. 进入 分机和中继 > 分机,编辑分机。
  2. 分机信息 栏,从 IP 话机同时注册数 下拉列表中选择一个值。

  3. 点击 保存应用

基于用户代理限制分机注册

通过验证用户代理来限制分机注册。当 SIP 话机发送注册包到 PBX 时,注册包会包含用户代理 (User Agent) 字段,该字段必须与预设值一致,否则注册会失败。

要基于用户代理限制分机注册,执行以下操作:

  1. 进入 分机和中继 > 分机,编辑分机。
  2. 安全 页签下,勾选 启用用户代理注册认证,设置用户代理。

  3. 点击 保存应用

基于 IP 地址限制分机注册

只允许信任的 IP 地址注册分机。这样一来,当未受信的 IP 地址发起注册请求时,系统将丢弃请求,从而防止未经授权的注册。

要基于 IP 地址限制分机注册,执行以下操作:

  1. 进入 分机和中继 > 分机,编辑分机。
  2. 安全 页签下,勾选 启用 IP 地址限制,并添加允许的 IP 地址。

  3. 点击 保存应用

限制远程注册

所有分机默认禁止远程注册。除非用户确实需要远程使用分机,否则不要更改此限制规则。如有需要,你可以根据以下说明,启用 SIP 分机的远程注册功能。

  1. 进入 分机和中继 > 分机,编辑分机。
  2. 安全 页签下,勾选 允许远程注册

  3. 点击 保存应用
注: 需要进一步设置才能成功将此分机注册到远程话机上。 关于如何配置远程话机,请参见 通过公网 IP 和端口远程注册分机通过 Yeastar FQDN 远程注册分机