ELASTIX – общайтесь свободно - Владислав Юров

Чтобы обезопасить себя и компанию от взлома АТС необходимо предпринять несколько несложных действий:

• подключайтесь к станции с защищенных от вирусов компьютеров (неплохим выбором будет использование Ubuntu в качестве основной операционной системы на Вашем рабочем компьютере – 100 % магазинов и 80 % сотрудников в офисе компании, где я работаю, уже используют ее)

• измените стандартные порты SSH и ограничьте список сетей, с которых возможно подключение по протоколу SSH (Меры повышения безопасности. Защита консольного доступа по SSH)

• измените стандартные порты HTTP/HTTPS и ограничьте список сетей, с которых возможно подключение по протоколам HTTP/HTTPS (Меры повышения безопасности. Защита доступа к WEB-интерфейсу)

• включите брандмауэр, оставив в списке разрешенных только используемые протоколы (Меры повышения безопасности. Защита портов через Firewall)

• отключите не используемый функционал

• заблокируйте подключение к станции без авторизации («Anonymous Inbound SIP Calls» в меню PBXGeneral Settings) и заблокируйте исходящие вызовы (Outbound Routes) по неиспользуемым направлениям

• подключаясь к провайдерам, ограничивайте исходящие звонки на их серверах

• заблокируйте перебор паролей (Меры повышения безопасности. Установка и настройка дополнения Anti-Hacker)

Проделать перечисленные настройки лучше до того, как приступить к настройке системы. Пока Вы разбираетесь с системой, злоумышленники не дремлют и сканируют порты серверов, доступных в Интернет. Обнаружив Ваш сервер, их боты проверят стандартные бреши в безопасности. Использование Вашего сервера злоумышленниками может привести к крупным финансовым потерям для компании, измеряющимися Вашей зарплатой за несколько месяцев. Не надейтесь на славу «неуловимого Джо»! Если после установки сервера до его защиты прошло несколько дней, лучше переустановить сервер заново и настроить защиту в течение нескольких минут – на процедуру изменения стандартных портов и включение Firewall этого достаточно.

Русификация Elastix

Русификация Elastix состоит из следующих этапов:

• конвертация базы данных Elastix в кодировку Unicode

• настройка кодировки Unicode для подключения к mySQL

• активация возможности использования кириллицы в именах абонентов

• добавление русского голоса в Asterisk

«Русификация Elastix 2.4» подробно описывает этот процесс.

Создание резервной копии настроек Elastix

Процесс создания резервных копий настроек Elastix и восстановления конфигураций предельно автоматизирован. Достаточно зайти в web-интерфейсе в раздел «SystemBackup/Restore»:

нажать «Perform a Backup», выбрать необходимые компоненты и нажать «Process»:

Через несколько минут будет создан архив текущей конфигурации. Вернуться к сохраненной конфигурации так же легко, используя кнопку «Restore» напротив необходимой версии.

В этом же меню можно и нужно настроить периодичность создания архива конфигураций. На текущий момент существует одно досадное неудобство – функция автоматического создания резервных копий сохраняет также весь архив аудиозаписей, что очень быстро захламляет диск. Решение этой проблемы описывает «Высвобождение места на диске Отключение резервного копирования аудиозаписей».

Настройка функций самообслуживания станции

Asterisk – хорошо отлаженная система, работающая без перезагрузки месяцами. Обслуживание станции обычно не отнимает много времени. Для минимизации трудозатрат на обслуживание станции:

• настройте резервное копирование, отключив создание архивов аудиозаписей (стр.339, «Высвобождение места на диске»)

• настройте автоматическое удаление старых аудиозаписей (стр.339, «Высвобождение места на диске»)

• настройте автоматическое отключение зависших соединений (стр. 342, «Отключение зависших соединений»)

• настройте автоматическое восстановление внешних подключений (стр. 345, «Автоматическое восстановление подключений к внешним линиям»)

Завершение инсталляции

Если станция инсталлирована, русифицирована и защищена от взлома, пора приступать к настройкам телекоммуникационных функций. Этому посвящен весь следующий раздел.

Инструкция по настройке (Configuration manual)

Персонализация настроек

После базовой инсталляции Elastix и настройки безопасности можно приступать к персонализации системы – к настройке телекоммуниционных функций, включающей следующие этапы:

• настройка учетных записей SIP-телефонов (Extensions)

• настройка линий подключения к провайдерам (Trunks)

• настройка правил исходящей связи (Outbound Routes)

• настройка правил обработки входящих звонков (Inbound Routes, Time Conditions)

• При необходимости можно пройти дополнительные этапы расширения функционала:

• настройка голосовых меню (IVR)

• настройка голосовых объявлений (Announcements)

• настройка групп приема звонков и правил переадресации (Ring Groups, Follow Me)

• настройка очередей обработки вызовов (Queues)

• настройка системы приема и отправки факсов HylaFax

• настройка сервисных кодов (Feature Codes, General Settings)

• настройка музыки на ожидании (Music on Hold)

• настройка многоязыковой обработки звонков (Languages)

• настройка источников определения номеров (АОН, CallerID Lookup Sources)

• настройка удаленного доступа (Callback, DISA)

• расширенные настройки (Misc Applications, Misc Destinations, freePBX)

Настройка учетных записей абонентов (Extensions)

Elastix позволяет настроить учетные записи абонентов следующих типов:

• SIP Device – для подключения SIP-телефонов, стандарт де-факто

• IAX2 Device – для подключения между собой нескольких станций Elastix/Asterisk

• virtual exten – альтернативный номер абонента, мобильный номер

• Other (Custom) Device – для подключения нестандартных устройств, например, H.323, Skype

• ZAP Device и DAHDI Device – специальные периферийные устройства, подключенные к серверу

SIP Device

Протокол SIP (Session Initiation Protocol) является доминирующим протоколом для подключения как оконечных устройств, так и для подключения Elastix к телеком-провайдерам.

IAX2 Device

Протокол IAX2 (Inter-Asterisk eXchange protocol) разработан компанией Digium специально для Asterisk, входящей в состав Elastix. Удобен для соединения между собой нескольких станций Asterisk, поскольку использует единый канал сигнализации на несколько голосовых каналов, тем самым позволяя существенно экономить трафик (в сравнении с протоколом SIP). Для оконечных устройств протокол выгоден использованием одного порта как для служебной информации, так и для голоса, что исключает проблему отсутствия голоса при установлении соединения (ахиллесова пята протокола SIP). В 2009 году протокол был утвержден в IETF под RFC 5456, но все еще слабо распространен в телефонных аппаратах.

Настройка SIP-телефонов

SIP (http://ru.wikipedia.org/wiki/SIP) стал в настоящее время стандартом де-факто для подключения VoIP-устройств к телекоммуникационным сетям. Большая часть ваших устройств будет использовать именно этот протокол для взаимодействия с Elastix.

Для создания учетной записи SIP-устройства на Elastix достаточно указать номер (User Extension), пароль (Secret) и имя (Display Name).

User Extension

Номер, присваиваемый телефону. Может состоять только из цифр. Используя этот номер можно связаться с абонентом. Одновременно является логином, настраиваемым на SIP-телефоне, для подключения к Elastix.

Secret

Пароль, требуемый SIP-телефону, для подключения к Elastix. Рекомендую использовать разные пароли для разных учетных записей. Не ленитесь и настраивайте пароли длиной не менее 12 символов, используйте цифры, заглавные и строчные буквы. Настроить стойкий пароль дело пары секунд, а взламывать его можно годами.

Display Name

Имя абонента, которое будет отображаться на экранах телефонов коллег. К сожалению, иногда приходится использовать английские буквы, например, для корректного отображения имени на DECT-телефонах. По-умолчанию в Elastix допустимы только символы latin1, смотрите Русификация Elastix 2.4.

CID Num Alias

Номер, который будет виден вызываемому абоненту. Если у абонента несколько телефонных номеров, укажите в этом поле основной номер абонента, тогда с какого бы номера абонент не позвонил, коллеги увидят указанный в этом поле номер. Если SIP-телефон установлен, например, в Горячей линии или в техподдержке, укажите в этом поле номер очереди (Queue) или номер группы приема звонков (Ring Group).

SIP Alias

Дополнительный номер абонента, может содержать буквы латинского алфавита. Используется для прямых звонков абоненту извне. Часто совпадает с email абонента, например, sip: [email protected] Для указанного примера в поле SIP Alias необходимо ввести только «boss». Если требуется указать для одного абонента несколько прямых номеров, создайте Virtual Extension, в котором укажите дополнительное имя и настройте переадресацию (Follow Me). Для работы данной функции может потребоваться перечислить несколько доменов («domain=sip.elastix.club», «domain= elastix.club» в файле «sip_general_custom.conf») и активировать анонимные входящие звонки (строка «allowguest=yes» также в файле «sip_general_custom.conf»), последнее может привести к нежелательным входящим звонкам. Если анонимные входящие звонки не активировать, прямые вызовы будут доступны только внутренним абонентам и при звонках через настроенные транки (Trunks).