Настройки
Настройка SSL-сертификатов
IVA SBC позволяет добавлять SSL-сертификаты, которые могут использоваться для:
-
входящих HTTPS-запросов
-
TLS в SIP
-
TLS в H.323
-
TLS TURN-серверов
При работе на вкладке Настройки сертификатов можно:
-
управлять сертификатами
-
настроить шифрование
Сертификаты
На вкладке Сертификаты можно:
-
посмотреть список сертификатов
-
добавить сертификат: нажать кнопку Добавить
-
удалить сертификат: нажать кнопку
и выбрать Удалить
В списке сертификатов отображены:
-
Доменное имя — имя, указанное при добавлении сертификата
-
Кому выдан — имя владельца (CN), организации (O) или подразделения (OU)
-
SSL сертификат — отображает статус (Валиден / Самоподписанный / Отозван)
-
Срок действия — дата окончания действия сертификата
-
Осталось — оставшееся время действия сертификата (в днях)
Добавление SSL-сертификата
Чтобы добавить сертификат, необходимо:
-
нажать кнопку Добавить
-
в окне Добавление сертификата:
-
Доменное имя: ввести имя (например *.test.org)
-
Сертификат: ввести сертификат (содержимое файла с расширением *.pem)
-
Приватный ключ: ввести ключ (содержимое файла с расширением *.key)
-
нажать кнопку Проверить (будет проведена проверка сертификата на валидность)
-
-
в окне Добавление сертификата нажать кнопку Добавить
Шифрование
Вкладка Шифрование позволяет настроить TLS‑шифрование для установления безопасного соединения и защищённого обмена данными по протоколам SIP, H.323, TURN, HTTPS и FLV.
На вкладке Шифрование можно:
-
выбрать версии TLS, используемые для разных служб:
-
при включённом Экспертном режиме редактировать списки алгоритмов шифрования для каждой службы.
| Изменение алгоритмов может привести к неработоспособности системы |
Настройка адреса внешнего HTTP-прокси-сервера
В разделе Настройки, на вкладке Внешние HTTP прокси сервера можно добавлять, редактировать и удалять адреса внешних HTTP-прокси-серверов (например WAF).
Внешние HTTP-прокси-сервера стоят перед IVA SBC, и чтобы узнать реальный IP-адрес пользователя необходимо использовать один из заголовков HTTP-запроса: X-Real-IP или X-Forwarded-For.
При работе на вкладке Внешние HTTP прокси сервера можно:
-
посмотреть список серверов
-
добавить адрес внешнего HTTP-прокси-сервера: нажать кнопку Добавить
-
редактировать адрес внешнего HTTP-прокси-сервера: нажать кнопку
и выбрать Редактировать -
удалить адрес внешнего HTTP-прокси-сервера: нажать кнопку
и выбрать Удалить
Добавление адреса внешнего HTTP-прокси-сервера
Чтобы добавить внешний HTTP-прокси-сервер, необходимо:
-
нажать кнопку Добавить
-
в окне Добавление внешнего HTTP прокси сервера:
-
Адрес сервера: ввести IP-адрес внешнего HTTP-прокси-сервера (например 10.0.200.110)
-
Заголовок с Real IP: выбрать X-Real-IP или X-Forwarded-For
-
-
нажать кнопку Сохранить
Системные настройки
При работе на вкладке Системные настройки можно выполнить настройку:
| Системные настройки применяются на всех серверах IVA SBC автоматически |
Если в Системных настройках были осуществлены изменения на какой-либо из вкладок (Логирование, NTP, SNMP и т. д.) и не были сохранены, то при переходе на другую вкладку или в другой раздел система выдаёт предупреждение со следующими вариантами действий:
-
нажать кнопку Отменить: для отмены изменений
-
нажать кнопку Вернуться: для продолжения изменения и сохранения настроек
Настройка параметров Логирования
На вкладке Логирование можно настроить время хранения данных истории Аудита и Мониторинга.
Чтобы настроить время хранения истории, необходимо:
-
указать значение времени хранения истории:
-
Время хранения истории аудита, дни: ввести значение времени хранения событий журнала аудита (в днях)
-
Время хранения истории звонков, дни: ввести значение времени хранения истории журнала VVoIP-звонков (в днях)
-
Время хранения истории графиков, дни: ввести значение времени хранения истории графиков (в днях)
-
-
нажать кнопку Сохранить
| Значение 0 времени хранения истории означает, что события не удаляются |
| Настройки параметров логирования применяются на всех серверах IVA SBC автоматически |
Настройка списка NTP-серверов
На вкладке NTP можно включить синхронизацию времени, добавить NTP-сервера и опции для них.
Чтобы настроить синхронизацию времени, необходимо:
-
Включено: нажать переключатель для включения синхронизации времени
Дальнейшая настройка синхронизации времени возможна только после её активации -
Список серверов: ввести адрес NTP-сервера
-
при необходимости добавить дополнительный NTP-сервер: нажать ссылку Добавить новое поле и ввести адрес NTP-сервера
-
при необходимости удалить адрес NTP-сервера из списка серверов: нажать кнопку
-
-
Опции серверов: добавить опции (например опция iburst для повышения точности синхронизации)
-
нажать кнопку Сохранить
| Настройки NTP-серверов применяются на всех серверах IVA SBC автоматически |
Настройка обработки SNMP-запросов
На вкладке SNMP можно включить и настроить обработку SNMP-запросов v2 и v3.
Чтобы включить и настроить SNMP-агента, необходимо:
-
Включено: нажать переключатель для включения поддержки обработки SNMP-запросов от внешних систем
Дальнейшая настройка SNMP-агента возможна только после его активации -
Транспортные протоколы: выбрать транспортный протокол (UDP и / или TCP) и нажать соответствующие переключатели
-
Адрес обработки запросов: ввести IP-адрес, на котором система должна слушать SMNP-запросы (обычно 0.0.0.0:161)
-
Разрешенные сети: добавить список подсетей, из которых разрешено обращение по протоколу SNMP (можно указывать через запятую, например 192.168.0.0/16,172.16.0.0/12)
-
Имя сообщества: ввести имя сообщества, которое будет использоваться для обмена информацией в SNMP v2 (например ivcs)
-
Имя пользователя: ввести имя SNMP v3 пользователя (например HiTech)
-
Тип аутентификации: выбрать тип аутентификации для учётной записи SNMP v3:
-
MD5 — создает хеш длиной 128 бит, быстрее по сравнению с SHA, не рекомендуется для использования в новых системах из-за уязвимостей
-
SHA — семейство функций, включая SHA-1 (160 бит), SHA-256, SHA-384, и SHA-512. SHA-256 и выше считаются более безопасными и устойчивыми к коллизиям (разные входные данные, дающие одинаковый хеш)
-
-
Пароль аутентификации: ввести пароль для аутентификации учётной записи SNMP v3 (например PSwrd)
-
Тип конфиденциальности: выбрать тип конфиденциальности для учётной записи SNMP v3:
-
AES128 / AES192 / AES256 — варианты симметричного алгоритма блочного шифрования, где числа 128, 192 и 256 обозначают размер ключа в битах.Больший размер ключа обеспечивает более высокий уровень безопасности
-
DES / DES3 — устаревшие алгоритмы блочного шифрования, считаются небезопасным для использования
-
-
Пароль конфиденциальности: ввести пароль конфиденциальности для учётной записи SNMP v3 (например myPrivacyPassword)
-
нажать кнопку Сохранить
| Настройки обработки SNMP-запросов применяются на всех серверах IVA SBC автоматически |
Настройка Zabbix аgent
На вкладке Zabbix можно включить и настроить zabbix agent для возможности самостоятельной настройки системы мониторинга средствами Zabbix.
Чтобы включить и настроить Zabbix, необходимо:
-
Отправка данных: нажать переключатель для отправления данных на Zabbix-сервер
Дальнейшая настройка Zabbix возможна только после её активации -
Список серверов: ввести IP-адреса и подсети Zabbix-серверов, с которых разрешён доступ к системе (можно указывать через запятую, например 10.0.204.165/16,10.0.224.165/12)
-
Идентификатор системы: ввести идентификатор системы для аутентификации обращений от Zabbix-сервера (например PKS001)
-
Ключ доступа: ввести секретный ключ доступа для аутентификации обращений от Zabbix-сервера (значение должно быть шестнадцатеричной строкой).Ключ можно сгенерировать в консоли управления, выполнив команду openssl rand -hex 32
-
нажать кнопку Сохранить
| Настройки Zabbix применяются на всех серверах IVA SBC автоматически |
Настройка списка используемых DNS-серверов
На вкладке DNS можно добавить адреса DNS-серверов.
-
Чтобы добавить DNS-сервер, необходимо: в строке Список серверов ввести IP-адрес DNS-сервера (например 10.0.203.267) и нажать кнопку Сохранить
-
Чтобы добавить дополнительный DNS-сервер, необходимо: нажать ссылку Добавить новое поле, в добавленном поле ввести IP-адрес DNS-сервера и нажать кнопку Сохранить
-
Чтобы удалить DNS-сервер, необходимо: нажать кнопку
и нажать кнопку Сохранить
Добавленные адреса DNS-серверов применяются в порядке очереди. Чтобы изменить порядок применения DNS-серверов (поднять или опустить DNS-сервер в очереди), необходимо использовать кнопки 
и 
соответственно, а затем нажать кнопку Сохранить.
| Настройки используемых DNS-серверов применяются на всех серверах IVA SBC автоматически |
Настройка доступа к серверам по протоколу SSH
На вкладке SSH можно выполнить настройку удалённого доступа по протоколу SSH.
-
Чтобы разрешить удаленный доступ по протоколу SSH, необходимо:
-
Доступ по SSH: нажать переключатель и нажать кнопку Сохранить
Дальнейшая настройка доступа по протоколу SSH возможна только после его активации -
-
Чтобы разрешить удаленный доступ по протоколу SSH с помощью пароля, необходимо:
-
Вход по паролю: нажать переключатель и нажать кнопку Сохранить
Пароль для входа задаётся во время установки системы IVA SBC (см. руководство по установке Install Guide IVA SBC) -
-
Чтобы настроить порт для подключения по протоколу SSH, необходимо:
-
Порт SSH: ввести номер порта для подключения по SSH (например 22) и нажать кнопку Сохранить
Настройки доступа к серверам по протоколу SSH применяются на всех серверах IVA SBC автоматически -
Настройка локальных DNS-записей
На вкладке Файл hosts можно выполнить настройку локальных DNS-записей.
Чтобы настроить локальные DNS-записи, необходимо:
-
в строке Соответствие:
-
IP адрес: ввести IP-адрес сервера (например 127.0.0.1)
-
Имя хоста или доменное имя: ввести имя хоста или доменное имя (например localhost)
-
-
при необходимости добавить новое соответствие: нажать ссылку Добавить новое поле и ввести IP адрес и Имя хоста или доменное имя
-
при необходимости удалить лишнее поле: нажать кнопку
-
нажать кнопку Сохранить
| Настройка локальных DNS-записей сохраняется в отдельном файле на сервере управления и конфигурации |
| Настройки локальных DNS-записей применяются на всех серверах IVA SBC автоматически |
Настройка безопасности web-панели администрирования
На вкладке Безопасность и пароли можно выполнить настройку безопасности web-панели администрирования IVA SBC.
Чтобы настроить безопасность web-панели администрирования IVA SBC, необходимо:
-
Блокировка по IP при подборе пароля: нажать переключатель для включения проверки и блокировки по IP-адресу. Если функция включена, то при работе защиты от подбора пароля будет заблокирован IP-адрес и логин пользователя. Если функция отключена, то будет заблокирован только логин пользователя
-
Количество неудачных попыток входа в систему: ввести разрешенное количество неудачных попыток входа в систему при включенной защите
-
Период фиксации неудачных попыток входа в систему, мин: ввести период времени в минутах, в течение которого фиксируются неудачные попытки входа в систему. Если за установленный период времени было превышено количество неудачных подряд попыток, то происходит блокировка входа в систему
-
Время блокировки входа в систему, мин: ввести период времени в минутах, в течение которого вход в систему будет заблокирован в случае превышения пользователем допустимого количества попыток входа
-
Время жизни неактивной сессии, мин: ввести период времени в минутах, по истечении которого система автоматически завершит неактивную сессию пользователя
Обновление параметров, необходимых для графиков раздела Мониторинг, не влияет на время жизни пользовательской сессии -
Регулярное выражение проверки сложности пароля: ввести регулярное выражение (RegExp), которое будет определять требования к сложности пароля. При пустом значении проверка сложности пароля выполняться не будет
-
нажать кнопку Сохранить
Настройка доступа к метрикам Victoria Metrics
На вкладке Доступ к метрикам можно выполнить настройку доступа к метрикам Victoria Metrics.
Чтобы настроить доступ к метрикам, необходимо:
-
Список IP адресов: ввести IP-адрес, для которого нужен доступ к данным метрик Victoria Metrics
-
нажать ссылку Добавить новое поле, если нужно добавить ещё один IP-адрес
-
нажать кнопку
, чтобы удалить IP-адрес -
нажать кнопку Сохранить
Добавленные IP-адреса получат доступ ко всем метрикам панели Мониторинг.
Настройка приоритизации трафика
На вкладке DSCP можно выполнить настройку значений DSCP для разных типов трафика.Механизм DSCP позволяет «раскрасить» исходящий трафик от сервера проксирования IVA SBC, чтобы коммутаторы сети компании могли обрабатывать его с более высоким приоритетом.Коммутаторы должны поддерживать такую обработку.
| DSCP также известен как TypeOfService. |
Чтобы настроить DSCP, необходимо:
-
Значение для VVoIP RTP: ввести значение DSCP для исходящего RTP-трафика при проксировании RTP
-
Значение для VVoIP сигнализации (SIP, H.323): ввести значение DSCP для исходящего трафика сигнализации SIP и H.323
-
Значение для TURN RTP: ввести значение DSCP для исходящего RTP-трафика от TURN-сервера
| Допустимые значения в каждом поле — целые числа от 0 до 63. |
Health Check Service
На вкладке Health Check Service раздела Системные настройки можно:
-
проверить URL путь для Health check service — относительный путь для проверки работоспособности HTTP Reverse Proxy. При GET-запросе возвращает
HTTP 200 OK. Доступен, когда назначена роль HTTP Reverse и настроен хотя бы один маршрут.Изменить путь нельзя Реальных запросов к внутренним серверам не происходит — проверяется только работа самого HTTP Reverse Proxy. -
добавить Разрешенные IP адреса — список IP-адресов, которым доступен сервис проверки работоспособности:
-
ввести IP-адрес
-
нажать кнопку Добавить новое поле для добавления дополнительного адреса
-
нажать кнопку
для удаления адреса
-
Защита от DoS
На вкладке Защита от DoS задаются ограничения на количество SIP- / H.323-регистраций и звонков с одного IP‑адреса и параметры их блокировки при превышении заданных значений.
SIP- / H.323-регистрации
-
Количество неудачных попыток регистрации — разрешённое количество неудачных SIP- / H.323-регистраций с одного IP-адреса
-
значение по умолчанию: 10
-
-
Период фиксации неудачных попыток регистрации, сек — период в секундах, в течение которого учитываются неудачные идущие подряд попытки SIP- / H.323-регистраций. При превышении происходит блокировка регистрации
-
значение по умолчанию: 300
-
-
Время блокировки регистрации, сек — длительность блокировки новых регистраций при превышении лимита регистраций
-
значение по умолчанию: 300
-
-
Увеличивать время блокировки — при каждом повторном превышении лимита увеличивать время блокировки
-
значение по умолчанию: включено
-
-
Максимальное время блокировки, сек — максимальное время блокировки при включённом увеличении
-
значение по умолчанию: 2419200
-
SIP- / H.323-звонки
-
Количество входящих звонков — разрешённое количество входящих SIP- / H.323-звонков с одного IP-адреса
-
значение по умолчанию: 10
-
-
Период фиксации звонков, сек — период в секундах, в течение которого учитываются входящие звонки. При превышении происходит блокировка
-
значение по умолчанию: 300
-
-
Время блокировки звонка, сек — длительность блокировки новых звонков при превышении лимита звонков
-
значение по умолчанию: 300
-
-
Увеличивать время блокировки — при каждом повторном превышении лимита увеличивать время блокировки звонков
-
значение по умолчанию: включено
-
-
Максимальное время блокировки, сек — максимальное время блокировки звонков при включённом увеличении
-
значение по умолчанию: 2419200
-
SIP- / H.323-короткие звонки
| Короткие звонки — звонки продолжительностью до 30 секунд |
-
Количество коротких звонков — разрешённое количество коротких SIP- / H.323-звонков с одного IP-адреса
-
значение по умолчанию: 5
-
-
Период фиксации коротких звонков, сек — период в секундах, в течение которого учитываются короткие звонки. При превышении происходит блокировка
-
значение по умолчанию: 1800
-
-
Время блокировки короткого звонка, сек — длительность блокировки новых коротких звонков при превышении лимита коротких звонков
-
значение по умолчанию: 300
-
-
Увеличивать время блокировки — при каждом повторном превышении лимита увеличивать время блокировки коротких звонков
-
значение по умолчанию: включено
-
-
Максимальное время блокировки, сек — максимальное время блокировки коротких звонков при включённом увеличении
-
значение по умолчанию: 2419200
-
SIEM коннекторы
IVA SBC позволяет управлять syslog‑коннекторами для отправки журналов аудита и системных логов в SIEM‑системы.
При работе на вкладке SIEM коннекторы можно:
-
посмотреть список подключений, в котором отображаются:
-
Имя — наименование коннектора
-
Адрес сервера — IP и порт сервера syslog
-
Статус — активен или неактивен
-
кнопка Редактировать
-
кнопка Удалить
-
Типы отправляемых сообщений
Следующие типы сообщений можно отправить на сервер:
| Тип сообщения | Где хранятся события |
|---|---|
Аудит сервера конфигурации |
|
Логи сервера конфигурации |
|
Журнал звонков |
|
Access логи SBC |
|
VVoIP логи |
|
TURN логи |
|
FLV логи |
|
HTTP Reverse Proxy логи |
|
HTTP Proxy логи |
Добавление syslog-коннектора
Чтобы добавить syslog-коннектор, необходимо:
-
нажать кнопку Добавить
-
в окне Добавление syslog коннектора:
-
Включено: нажать переключатель для активации коннектора
-
Имя: ввести имя коннектора
-
Хост: ввести IP‑адрес syslog-сервера
-
Порт: ввести номер порта syslog-сервера
-
Субъект системного журнала: выбрать тип события
-
Формат сообщений системного журнала: выбрать RFC‑формат
-
Протокол: выбрать протокол
-
Список журналов: отметить чек-боксы для типов сообщений, отправляемых на сервер
-
-
нажать кнопку Добавить
Редактирование syslog-коннектора
Чтобы редактировать syslog-коннектор, необходимо:
-
нажать кнопку Редактировать
напротив нужной записи -
в окне Редактирование syslog коннектора внести изменения. Описание полей приведено в разделе Добавление syslog-коннектора
-
нажать кнопку Сохранить