В последнее время участились случаи взлома IP-АТС. Злоумышленники получают доступ к телефонии и совершают звонки за ваш счёт — на платные номера и международные направления. Это может привести к потерям в десятки и сотни тысяч рублей за считанные часы.

Кроме прямых финансовых потерь, есть и другая угроза. Взломанная АТС может использоваться мошенниками для звонков от имени вашей организации — например, для обзвона граждан якобы от лица «Госуслуг», банков или государственных органов с целью выманивания персональных данных и денег. В этом случае номер вашей компании отображается у жертв как источник звонка, что ведёт к репутационному ущербу, жалобам и возможным проверкам со стороны правоохранительных органов. Вы можете даже не знать, что ваша АТС используется в мошеннической схеме, пока не получите претензии или блокировку номера от оператора связи.

Ниже — пошаговая инструкция, как защитить вашу АТС. Даже если вы уже настроили систему, пройдитесь по всем пунктам — возможно, что-то было упущено.

Обязательные меры безопасности

1. Включите сетевой экран (Firewall)

Сетевой экран — это первая линия защиты. Он ограничивает, кто может подключаться к вашей АТС.

Что сделать:

  • Откройте раздел Сеть и Firewall > Сетевой экран
  • Убедитесь, что переключатель активирован
  • Создайте правила, разрешающие доступ только из нужных подсетей

Подробная инструкция по настройке правил: Сетевой экран — документация MikoPBX

2. Используйте сложные пароли

Простой пароль — самая частая причина взлома. Злоумышленники перебирают тысячи комбинаций в секунду, и пароли вроде 1234, admin или password подбираются мгновенно.

Требования к паролям SIP-аккаунтов и веб-интерфейса:

  • Минимум 12 символов
  • Буквы ВЕРХНЕГО и нижнего регистра
  • Цифры и специальные символы (!@#$%^&*)
  • Не используйте словарные слова, имена, даты рождения

Что проверить:

  • Откройте карточку каждого сотрудника в разделе Телефония > Сотрудники и убедитесь, что SIP-пароль достаточно сложный
  • Проверьте пароль для входа в веб-интерфейс

Измените имя авторизации (Auth Username)

По умолчанию для SIP-авторизации используется внутренний номер сотрудника (например, 204). Злоумышленники это знают и перебирают именно стандартные номера.

Auth Username — это имя пользователя, которое телефон или софтфон отправляет при регистрации на АТС. Оно отличается от внутреннего номера и используется исключительно для проверки подлинности подключения.

Как настроить в MikoPBX:

  1. Откройте карточку сотрудника в разделе Телефония > Сотрудники
  2. Перейдите в Расширенные настройки > Дополнительные параметры SIP
  3. Добавьте следующие строки: 
[auth]
username = MIKO204
  1. Вместо MIKO204 укажите своё имя для авторизации — используйте комбинацию букв и цифр (например, PBXuser204, Ext2a04b, SipAcc204x)

Как настроить на телефоне или софтфоне:

После изменения Auth Username на АТС необходимо указать новое имя в настройках каждого телефона или софтфона, который зарегистрирован на данном номере.

Рекомендуется использовать англоязычный интерфейс телефона — названия настроек будут совпадать с примерами ниже.

В зависимости от производителя, эта настройка может называться по-разному:

Yealink .............. Register Name / Authentication User  
Grandstream .......... Authenticate ID  
Fanvil ............... Authentication User  
Snom ................. Authentication Username  
Linphone ............. Auth userid  
Zoiper ............... Authentication user / Auth. Username  
MicroSIP ............. Login  
Cisco (SPA) .......... Auth ID

Обычно эта настройка находится в разделе Account или SIP Account в веб-интерфейсе телефона. Если вы не можете её найти — откройте интерфейс телефона на английском языке и поищите по ключевым словам: auth, authentication, register name.

Подробнее о настройке учётных записей: Сотрудники — документация MikoPBX

3. Ограничьте доступ к АТС по IP-адресам

Не давайте доступ к АТС «всему интернету». Разрешите подключение только с тех адресов, откуда ваши сотрудники и провайдер реально работают.

Что сделать:

  • В разделе Сеть и Firewall > Сетевой экран создайте правила для каждой доверенной подсети
  • Укажите адрес подсети и маску в формате CIDR (например, 192.168.1.0/24)
  • Для каждого правила выберите, какие сервисы разрешены: SIP, WEB, SSH и т.д.
  • Для доверенных сетей включите флаг «Никогда не блокировать адреса из этой сети»

Какие адреса добавить:

  • Подсеть вашего офиса
  • Адреса VPN-сервера
  • Адреса вашего провайдера телефонии (уточните у провайдера)
  • Статические IP-адреса удалённых сотрудников (см. ниже)

Удалённые сотрудники и статический IP

Если у вас есть сотрудники, работающие из дома или удалённо, их IP-адрес тоже нужно добавить в правила сетевого экрана. Но здесь есть важный нюанс.

Большинство домашних интернет-провайдеров выдают абонентам динамический («серый») IP-адрес, который меняется при каждом переподключении. Добавлять такой адрес в правила бессмысленно — завтра он будет другим, и сотрудник потеряет доступ к АТС.

Рекомендация: попросите удалённого сотрудника подключить у своего интернет-провайдера услугу статического (постоянного) IP-адреса. Обычно это стоит 100–200 рублей в месяц. После подключения адрес больше не будет меняться, и его можно безопасно добавить в правила Firewall.

Как узнать текущий IP-адрес сотрудника:

  • Попросите сотрудника открыть в браузере сайт 2ip.ru — он покажет текущий внешний IP-адрес
  • Если адрес не совпадает с тем, что был вчера — значит, IP динамический и нужно подключать статический

Если статический IP невозможен:

  • Используйте VPN — все удалённые сотрудники подключаются через VPN-сервер, и в Firewall добавляется только адрес VPN
  • Как минимум, убедитесь, что у сотрудника установлен сложный SIP-пароль и изменён Auth Username (см. пункт 2)

Инструкция по настройке правил и параметров: Сетевой экран — документация MikoPBX

4. Закройте веб-интерфейс от интернета

Панель управления АТС — это «ключи от всей системы». Если она доступна из интернета без ограничений, злоумышленник может получить полный контроль над телефонией.

Что сделать:

  • В правилах сетевого экрана разрешите WEB-доступ только для подсети вашего офиса или VPN
  • Для всех остальных правил отключите галочку WEB
  • Если вам нужен удалённый доступ — используйте VPN

5. Не публикуйте АТС на публичном IP-адресе

Если АТС доступна напрямую из интернета по публичному IP — она становится мишенью для автоматических сканеров, которые круглосуточно ищут уязвимые системы.

Рекомендации:

  • Разместите АТС за NAT-маршрутизатором
  • Для удалённых сотрудников используйте VPN-подключение
  • Если публичный IP неизбежен — обязательно настройте сетевой экран и Fail2Ban (см. пункт 6)
  • В разделе Сеть и Firewall > Сетевые интерфейсы правильно укажите топологию сети и внешний адрес

Настройка сетевых интерфейсов и маршрутов: Сетевые интерфейсы — документация MikoPBX

Ручная настройка сетевых маршрутов: Настройка маршрутов

6. Включите защиту от перебора паролей (Fail2Ban)

Fail2Ban автоматически блокирует IP-адреса, с которых идут подозрительные попытки подключения — например, перебор паролей SIP-аккаунтов.

Что сделать:

  • Fail2Ban включается автоматически вместе с сетевым экраном
  • Откройте Сеть и Firewall > Защита от взлома и проверьте настройки:
    • Количество попыток — после скольких неудачных попыток блокировать адрес (рекомендуется: 5–10)
    • Временное окно — за какой период считать попытки (рекомендуется: 300 секунд)
    • Время блокировки — на сколько блокировать нарушителя (рекомендуется: 3600 секунд и более)
  • Проверьте, что в белом списке указаны адреса вашего офиса, чтобы случайно не заблокировать себя

Важно: Fail2Ban не заменяет сложные пароли. Даже с включённым Fail2Ban простой пароль может быть подобран.

Подробная настройка: Защита от взлома — документация MikoPBX

Финансовая защита

Даже при хорошей технической защите стоит подстраховаться финансово. Если взлом всё-таки произойдёт, эти меры ограничат возможный ущерб.

7. Установите лимит расходов у провайдера телефонии

Свяжитесь с вашим провайдером и попросите:

  • Установить суточный лимит расходов на исходящие звонки
  • Включить запрет работы при отрицательном балансе
  • По возможности — заблокировать звонки на международные и платные направления, если вы ими не пользуетесь

Это самый действенный способ ограничить финансовые потери при любом сценарии взлома.

8. Не держите на счёте большие суммы

  • Пополняйте баланс по мере необходимости небольшими суммами
  • Не оставляйте на счёте «запас на полгода вперёд»
  • Настройте уведомления о расходах у провайдера, если такая возможность есть

Чек-лист безопасности

Пройдитесь по этому списку и убедитесь, что все пункты выполнены:

  • [ ] Сетевой экран (Firewall) включён
  • [ ] Правила Firewall разрешают доступ только доверенным подсетям
  • [ ] Веб-интерфейс закрыт от доступа из интернета
  • [ ] Все SIP-пароли сложные (12+ символов, разный регистр, цифры, спецсимволы)
  • [ ] Пароль веб-интерфейса сложный
  • [ ] Fail2Ban включён и настроен
  • [ ] АТС расположена за NAT или доступ ограничен через VPN
  • [ ] У провайдера телефонии установлен лимит расходов
  • [ ] Международные и платные направления заблокированы (если не используются)
  • [ ] На балансе провайдера нет лишних средств

Полезные ссылки

Экстренный патч безопасности (версия 2024.1.114)

Для пользователей версии 2024.1.114 доступен патч, повышающий безопасность REST API.

Установка одной командой:

curl -L 'https://files.miko.ru/s/DPZcM2vywc2BTOZ/download' | sh

Подробные инструкции: docs.mikopbx.com — Патч 2024.1.114

Если у вас есть вопросы по настройке — обращайтесь в техническую поддержку. Не откладывайте защиту на потом.