Включение шифрования TLS – SRTP в 3CX

Если вы хотите поздравить коллегу с Новым годом так, чтобы это не услышали посторонние,  — стоит воспользоваться возможностью шифрования трафика в 3CX!

У некоторых пользователей возникают вопросы, связанные с настройкой безопасной передачи голоса в системе. Давайте разберемся, как быстро и просто обезопасить голосовой трафик от прослушки.

Общие принципы

Перед тем, как перейти к описанию настроек системы, определимся, какой тип шифрования нужно использовать в том или ином случае.

1. Удаленные подключения отдельных пользователей (за пределами локальной сети). Шифрование обеспечивает фирменная технология 3CX Tunnel ^[1], встроенная во все клиенты программные 3CX. Обратите внимание, 3CX Tunnel не предусматривает совместную работу с протоколами шифрования TLS и SRTP.

2. Подключение удаленных офисов. Шифрование обеспечивается также технологией 3CX Tunnel, интегрированной в утилиту 3CX Session Border Controller ^[2]. 3CX SBC устанавливается в удаленном офисе на постоянно работающий компьютер или сервер. Кроме шифрования трафика, она обеспечивает проксирование голосового трафика внутри офиса и удаленную автонастройку IP телефонов.

3. Локально подключённые программные клиенты 3CX. В данный момент поддерживается TLS / SRTP шифрование для 3CX Client for Windows и Mac. Шифрование можно включить централизованно в интерфейсе 3CX. Однако работу этой технологии мы рассмотрим в одной из следующих статей.

^[3]

4. Локально подключенные аппаратные IP телефоны. Для примера, рассмотрим включение шифрования в популярных телефонах Yealink.

Включение шифрования в 3CX Phone System

Для включения шифрования установите самоподписанный сертификат в 3CX Phone System. Для этого:

1. Перейдите на сайт генерации сертификата ^[4], укажите в верхнем поле IP адрес сетевого интерфейса сервера, который подключается в локальную сеть, и нажмите кнопку Generate. Например, локальный IP адрес моего сервера 192.168.0.2

^[5]

2. В интерфейсе 3CX перейдите в раздел Параметры > Безопасность > Secure SIP, установите галочку Secure SIP/TLS и вставьте скопированный  в шаге 1 текст сертификата Certificate и ключа Key и соответствующие поля

^[6]

3. Нажмите OK и перезапустите сервис 3CX PhoneSystem SIP Server

Включение шифрования в телефонах Yealink

После того, как поддержка шифрования включена на стороне 3CX, включите ее на IP телефонах пользователей. Для этого:

1. В телефонах Yealink, официально поставляемых в РФ, шифрование отключено в соответствии с законодательством. Поэтому, чтобы воспользоваться этой возможностью, обновите прошивку с официального сайта Yealink. Для модели SIP-T21 E2 3CX рекомендует прошивку T21P_E2-52.80.0.130.zip ^[7]

2. Подключите телефон к 3CX по этой инструкции ^[8].

3. В интерфейсе телефона в разделе Аккаунт установите протокол TLS и SIP порт 5061

^[9]

4. В разделе Расширенные включите Encryption SRTP. Если вы выберите Обязательно, связь будет возможна только с устройством, на котором также включено шифрование SRTP. В противном случае, во время установления связи появится ошибка 488 not acceptable here

^[10]

5. В разделе Безопасность > Доверенные сертификаты установите параметр Принимать только доверенные сертификаты в Отключено

Автор: 3CX Ltd.

Источник ^[11]