Включение шифрования TLS – SRTP в 3CX

в 13:06, , рубрики: 3cx, srtp, TLS, yealink, Блог компании 3CX Ltd., защита, инструкция, ит-инфраструктура, настройка, Серверное администрирование, сертификаты, Сетевые технологии, системное администрирование, шифрование

Если вы хотите поздравить коллегу с Новым годом так, чтобы это не услышали посторонние,  — стоит воспользоваться возможностью шифрования трафика в 3CX!

У некоторых пользователей возникают вопросы, связанные с настройкой безопасной передачи голоса в системе. Давайте разберемся, как быстро и просто обезопасить голосовой трафик от прослушки.

Общие принципы

Перед тем, как перейти к описанию настроек системы, определимся, какой тип шифрования нужно использовать в том или ином случае.

1. Удаленные подключения отдельных пользователей (за пределами локальной сети). Шифрование обеспечивает фирменная технология 3CX Tunnel, встроенная во все клиенты программные 3CX. Обратите внимание, 3CX Tunnel не предусматривает совместную работу с протоколами шифрования TLS и SRTP.

2. Подключение удаленных офисов. Шифрование обеспечивается также технологией 3CX Tunnel, интегрированной в утилиту 3CX Session Border Controller. 3CX SBC устанавливается в удаленном офисе на постоянно работающий компьютер или сервер. Кроме шифрования трафика, она обеспечивает проксирование голосового трафика внутри офиса и удаленную автонастройку IP телефонов.

3. Локально подключённые программные клиенты 3CX. В данный момент поддерживается TLS / SRTP шифрование для 3CX Client for Windows и Mac. Шифрование можно включить централизованно в интерфейсе 3CX. Однако работу этой технологии мы рассмотрим в одной из следующих статей.

image

4. Локально подключенные аппаратные IP телефоны. Для примера, рассмотрим включение шифрования в популярных телефонах Yealink.

Включение шифрования в 3CX Phone System

Для включения шифрования установите самоподписанный сертификат в 3CX Phone System. Для этого:

1. Перейдите на сайт генерации сертификата, укажите в верхнем поле IP адрес сетевого интерфейса сервера, который подключается в локальную сеть, и нажмите кнопку Generate. Например, локальный IP адрес моего сервера 192.168.0.2

image

2. В интерфейсе 3CX перейдите в раздел Параметры > Безопасность > Secure SIP, установите галочку Secure SIP/TLS и вставьте скопированный  в шаге 1 текст сертификата Certificate и ключа Key и соответствующие поля

image

3. Нажмите OK и перезапустите сервис 3CX PhoneSystem SIP Server

Включение шифрования в телефонах Yealink

После того, как поддержка шифрования включена на стороне 3CX, включите ее на IP телефонах пользователей. Для этого:

1. В телефонах Yealink, официально поставляемых в РФ, шифрование отключено в соответствии с законодательством. Поэтому, чтобы воспользоваться этой возможностью, обновите прошивку с официального сайта Yealink. Для модели SIP-T21 E2 3CX рекомендует прошивку T21P_E2-52.80.0.130.zip

2. Подключите телефон к 3CX по этой инструкции.

3. В интерфейсе телефона в разделе Аккаунт установите протокол TLS и SIP порт 5061

image

4. В разделе Расширенные включите Encryption SRTP. Если вы выберите Обязательно, связь будет возможна только с устройством, на котором также включено шифрование SRTP. В противном случае, во время установления связи появится ошибка 488 not acceptable here

image

5. В разделе Безопасность > Доверенные сертификаты установите параметр Принимать только доверенные сертификаты в Отключено

Автор: 3CX Ltd.

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js