IPPBX产品关于盗打问题的整改方案

【问题描述】

由于系统未配置SIP用户注册密码，PBX的账号密码为默认的账号密码，未区分字冠的国内国际长途权限等导致不法分子通过暴露的公网地址进行注册，修改用户权限进行盗打。

【影响和风险】

系统被盗打产生额外费用，给客户造成经济损失。

【措施和解决方案】

根据《A&S141-20131104-IPPBX产品关于盗打问题的整改公告》中的实施措施整改，具体如下：

1. 检测局点自动总机转分机号长

通过拨打局点自动总机后转外线固话号码，如果能够转出，则按公告中方法整改：

VU脚本修改方法如下：

如果用户要求转分机号码长度不大于4位，则需要修改自动总机脚本中的“分机号的长度”参数值为4（默认值为32），如下图所示

2. 配置与运营商对接的中继限呼

配置方法如下：

公司希望局外用户拨打公司总机后，SoftCo该用户再转出局呼叫。



执行show trunkgroup查看该限呼中继的编号（GroupNo），如下所示，中继的编号为26。

 配置限呼中继的呼出权限为局内。

config modify trunkgroup no 26 restrict yes outgoingright inter

注：如果局点

SoftCo有通过中继下接其他语音设备时，则不

能执行此条整改方案。

3. 检查PBX的出局字冠权限是否进行了控制，防止局内用户可以任意拨打本地

市话、国内长途、国际长途。检查现场配置字冠是否完善。

常见字冠如0、9等，具体以局点实际为准，这里以9作为出局字冠并且删号处理为例：

（1）9 配置为local字冠； （2）90配置为ddd国内长途字冠； （3）900配置为idd国际长途字冠； （4）9+ 配置为inter 字冠；

局内用户默认只能拨打inter和local字冠。当进行以上配置后，局内用户需要申请配置更多权限才能拨打国内、国际长途。

注：配置“9+”这个局内字冠可以盗打者通过 Local出局字冠＋“+”＋国家码＋被叫号码号 这种拨号方式直接拨打国际长途。

4. 检查SIP EID的密码，涉及登陆的SIP EID都需要配置密码鉴权，且密码

为字母加符号加数字的形式。

softco命令修改EID的鉴权方式以及密码：

config modify sipue eid 2008 authorizationtype authbyeid password 2013@rmyy IAD132命令修改:

sip user 0 password 2013@rmyy IAD1280命令修改:

sip user slot 2 port 0 password 2013@rmyy

注：此操作过程中会中断局点业务，需提前向地市移动申请操作时间。

5. 检查局内是否有非华为终端，如果全是华为终端，请将286软参设置为1，如

果有非华为终端，则此开关不能修改。

使用 config softargu type 286 value 1 命令禁止非华为终端注册。

6. 检查SIP抢注册开关，将365软参设置为1：

使用 config softargu type 365 value 1 命令打开SIP抢注册开关。

7. 检查PBX的管理员登陆帐号密码，如果是默认密码则必须修改，复杂度要达

到中级以上。举例如下：

config modify loginpassword ：>YZYD@huawei

8. 检查组网，如果配置了双网口或三网口模式，需要禁止管理网口处理SIP消息，

尤其是对于管理网口暴露在公网的组网。

双网口模式下管理网口禁止SIP消息处理的配置命令如下：

（注：以下命令只适用于SMCU，老MCU无此命令，因此无法，建议防火墙上做）

以下命令假设管理网口0的IP地址为221.181.166.201，业务网口1的IP地址为192.168.1.85。



添加一个0网口管理网口的限流规则，ID选择一个不存在的，可通过show flowlimit information，查看ID是否没有用的，这里选ID选21。

config add flowlimit rule name manageport id 21 protocol 17 ipflag destination ip 221.181.166.201 portflag destination minport 5060 maxport 6000

 修改0网口管理网口IP0的flowlimit的限流阈值为0，这里的ID 为21，与上

面新增的规则保持一致，表示符合21这条规则的网络包接收数量为0。

config flowlimit threshold id 21 status enable value 0

 删除原SIP信令规则。

config delete flowlimit rule name signal

 新增一个限流规则，允许1网口业务网口IP1处理SIP消息。

config add flowlimit rule name signal id 5 protocol 17 ipflag destination ip 192.168.1.85 portflag destination minport 5060 maxport 6000

9. 根据局点条件部署CDR Server，以便发生盗打后可以查看详细的通话记录和

相关IP地址。

【整改工作安排】

1. 以TDM方式接入且未接入网管的局点，检测是否存在通过自动总机转外线盗

打方式的风险，如不存在则将整改措施安排在局点维护时操作。

2. 已接入网管或可以远程维护的局点安排在2013年12月31日前完成整改措施。 3. 整改实施由个驻地工程师和区域维护工程师完成。