Первый вход в систему MikoPBX

Перейдите в консоль MikoPBX, вверху будет находиться IP-адрес, по которому вы можете подключиться через WEB-интерфейс. При установках не на локальный компьютер используйте внутренний IP-адрес. Скопируйте или запомните его.

Введите или вставьте IP-адрес MikoPBX в web-браузере. Отобразится страница авторизации в web-интерфейс. Введите логин и пароль по умолчанию.

После первой успешной авторизации, MikoPBX автоматически откроет настройки для смены пароля. Поменяйте пароль и нажмите "Сохранить".

После смены пароля система будет полностью готова к работе. Рекомендуется сразу же настроить правила firewall. Прочитать про то, как это сделать, можно по .

Требование к сетевому каналу

Пример расчета необходимой пропускной способности канала для различных кодеков на 30 одновременных звонков. АТС поддерживает наиболее популярные кодеки:

• G.711 - 4.67 Mbps

• GSM - 1.68 Mbps

• G.722 - 4.67 Mbps

• G.729 - 1.38 Mbps

Минимальные системные требования

• Жесткий диск объемом 800 Mb для основной системы

• Жесткий диск объемом 50+ Gb для записей разговоров

• 1 (2 ядра) процессор x86-64

Следуйте инструкциям шаг-за-шагом в том порядке, в котором они представлены для быстрой и успешной настройки системы.

Установка MikoPBX

MikoPBX - полноценная операционная система для вашего оборудования, не является отдельной программой. Поставляется в виде образа (файл *.iso, *.img, *.raw).

Она поддерживает многие способы установки:

• Установка .

• Установка .

• Установка .

• Установка в .

Перейдите по ссылке к интересующему Вас способу установки и произведите её по данным инструкциям.

Первый вход в веб-интерфейс

После установки Вам необходимо перейти в web-интерфейс MikoPBX для дальнейшей настройки системы. Для того, чтобы это сделать - найдите IP-адрес станции в консоли MikoPBX:

В данном примере - IP-адрес 172.25.233.36. Для перехода в web-интерфейс введите этот IP в адресную строку вашего браузера:

После первой авторизации, система попросит Вас поменять пароль.

Настройки внутри web-интерфейса:

Настройки сети и сетевого экрана

Для стабильной работы АТС необходимо настроить сеть через раздел Сеть и Firewall → Сетевые интерфейсы. Ознакомится с подробной инструкцией по данным настройкам можно .

В MikoPBX все локальные подсети возможно описать в разделе Сеть и Firewall → Сетевой экран. Сетевой экран предназначен для ограничения доступа к станции по типу трафика и подсетям. Выполните настройку по .

Настройка защиты от взлома (Fail2Ban)

Fail2ban блокирует IP адреса с нестандартной активностью, он способен снизить скорость неудачных попыток аутентификации, позволяет защитить Вашу АТС от взлома. Инструкцию, которая поможет в настройке можно найти .

Добавление и настройка учетных записей сотрудников

После окончания первоначальной настройки АТС, Вы можете перейти к созданию учетных записей ваших сотрудников. В этом вам поможет .

Подключение провайдеров

После добавления сотрудников, Вам необходимо подключить провайдеров к вашей станции. Инструкцию про этот раздел вы можете найти . Инструкции с примерами настройки реальных провайдеров вы можете найти .

Настройка входящей и исходящей маршрутизации

На данном этапе необходимо задать правила маршрутизации для входящих и исходящих вызовов: как будут обрабатываться звонки, идущие через определенного провайдера:

Для создания правил маршрутизации Вам так же могут понадобиться следующие функции:

Маркетплейс и модули

Маркетплейс позволяет расширить стандартный функционал системы с помощью модулей:

• Подробнее про Модули в MikoPBX Вы можете прочитать в .

• Про регистрацию в Маркетплейсе MikoPBX Вы можете прочитать в .

Предисловие

Добро пожаловать на ресурс документации по MikoPBX! Здесь Вы сможете найти пошаговые инструкции, связанные с взаимодействием с АТС MikoPBX. Для удобства, они собраны в разделы - прямо как в Web-интерфейсе, поэтому ориентироваться в документации очень легко.

Благодарим Вас за выбор MikoPBX! ❤️

Что такое MikoPBX?

MikoPBX - это бесплатный сервер телефонии с операционной системой и простым, удобным веб-интерфейсом. Она работает практически с любой телефонной технологией в мире.

MikoPBX — это полностью модульный интерфейс для Asterisk, написанный на PHP и Javascript. Это значит что в MikoPBX возможно реализовать абсолютно любой дополнительный функционал Asterisk телефонии. Более того, если вы разработаете полезный модуль, его можно поместить в общий репозиторий и сделать доступным для всех пользователей MikoPBX. Помимо этого, MikoPBX имеет очень низкие требования к аппаратному обеспечению ПК:

С чего начать?

Для начала вам следует установить MikoPBX любым удобным для вас способом. Ниже находятся опции установки. Нажав на их название - вы можете перейти к подробным профильным статьям:

• Установка .

• Установка .

• Установка .

• Установка в .

После установки вы можете перейти к изучению вашей станции. В этом вам поможет дальнейшая документация "Руководство пользователя", которая подробно рассказывает про конкретные разделы:

• .

• .

• .

• .

За дополнительной помощью по "быстрому старту", вы можете обратиться к .

Модули

В случае, если вы разобрались с базовой настройкой и эксплуатацией MikoPBX, Вы можете расширить ее функционал с помощью модулей.

Они позволяют добавить дополнительные функции вашей системы. Разобраться в них подробнее вы можете по шагам:

1. - здесь подробно описан процесс регистрации и его особенности.

2. - здесь подробно описан процесс установки и управления модулями.

3. - в этом разделе вы найдете подробное описание каждого модуля, а так же шаги по его настройки и использованию.

Раздел FAQ

В данной секции Вы можете найти ответы на интересующие вас вопросы, а так же решения, которые помогут вам расширить функционал базовых функций. Данная секция, так же, как и основная разделена на разделы для удобства поиска интересующих вас тем.

Если у вас возник вопрос, который не разобран в данном разделе - Вы можете обратиться за помощью в , где пользователи MikoPBX помогают друг другу решить вопросы и потребности, связанные с АТС.

В последнее время участились случаи взлома IP-АТС. Злоумышленники получают доступ к телефонии и совершают звонки за ваш счёт — на платные номера и международные направления. Это может привести к потерям в десятки и сотни тысяч рублей за считанные часы.

Кроме прямых финансовых потерь, взломанная АТС может использоваться мошенниками для звонков от имени вашей организации — например, для обзвона граждан якобы от лица банков или государственных органов. При этом у жертв отображается номер вашей компании, что ведёт к репутационному ущербу и возможным проверкам со стороны правоохранительных органов.

Пройдитесь по всем пунктам этой инструкции — даже если вы уже настраивали систему, возможно, что-то было упущено.

Патч безопасности для версии 2024.1.114

Если вы используете версию 2024.1.114, установите патч одной командой:

Подробные инструкции:

Обязательные меры безопасности

Включите сетевой экран (Firewall)

Сетевой экран — первая линия защиты. Он ограничивает, кто может подключаться к вашей АТС.

Перейдите в раздел «Сеть и Firewall» → «Сетевой экран», убедитесь что переключатель активирован и создайте правила, разрешающие доступ только из нужных подсетей.

Какие адреса добавить в правила:

• Подсеть вашего офиса

• Адреса VPN-сервера

• Адреса вашего провайдера телефонии (уточните у провайдера)

• Статические IP-адреса удалённых сотрудников

Подробная инструкция:

Закройте веб-интерфейс и CTI от интернета

Панель управления АТС — это «ключи от всей системы». Если она доступна из интернета без ограничений, злоумышленник может получить полный контроль над телефонией.

В правилах сетевого экрана разрешите WEB и CTI-доступ только для подсети вашего офиса или VPN. Для всех остальных правил отключите галочки WEB и CTI. Если вам нужен удалённый доступ — используйте VPN.

Используйте сложные пароли

Простой пароль — самая частая причина взлома. Злоумышленники перебирают тысячи комбинаций в секунду, и пароли вроде 1234, admin или password подбираются мгновенно.

Требования к паролям SIP-аккаунтов и веб-интерфейса:

• Минимум 12 символов

• Буквы ВЕРХНЕГО и нижнего регистра

• Цифры и специальные символы (!@#$%^&*)

Что проверить:

• Откройте карточку каждого сотрудника в разделе «Телефония» → «Сотрудники» и убедитесь, что SIP-пароль достаточно сложный

• Проверьте пароль для входа в веб-интерфейс в разделе «Система» → «Общие настройки» → «Пароль WEB интерфейса»

Измените имя авторизации (Auth Username)

По умолчанию для SIP-авторизации используется внутренний номер сотрудника (например, 204). Злоумышленники это знают и перебирают именно стандартные номера.

Auth Username — это имя пользователя, которое телефон или софтфон отправляет при регистрации на АТС. Оно отличается от внутреннего номера и используется исключительно для проверки подлинности подключения.

Как настроить префикс Auth Username в MikoPBX:

Перейдите в «Система» → «Общие настройки» → «SIP» и заполните поле «Префикс Auth Username для авторизации». Например, при префиксе MIKO внутренний номер 204 будет авторизоваться как 204MIKO.

После изменения Auth Username необходимо обновить настройки на каждом телефоне или софтфоне. В зависимости от производителя, настройка называется по-разному:

Обычно эта настройка находится в разделе Account или SIP Account в веб-интерфейсе телефона.

Включите защиту от перебора паролей (Fail2Ban)

Fail2Ban автоматически блокирует IP-адреса, с которых идут подозрительные попытки подключения.

Перейдите в раздел «Сеть и Firewall» → «Защита от взлома» и проверьте указанную степень защиты от атак:

• Слабая — 20 попыток за 10 мин, бан на 10 мин. Для первой настройки и доверенных сетей.

• Нормальная — 10 попыток за 1 час, бан на 1 день. Рекомендуется для большинства.

• Усиленная — 5 попыток за 6 часов, бан на 7 дней. Для серверов в интернете.

Защита веб-интерфейса в Docker

• Docker-развёртывание: при использовании bridge-режима внутренние правила файрвола и fail2ban не защищают веб-интерфейс. Настройте или переключите контейнер в network_mode: host.

Не публикуйте АТС на публичном IP-адресе

Если АТС доступна напрямую из интернета — она становится мишенью для автоматических сканеров, которые круглосуточно ищут уязвимые системы.

• Разместите АТС за NAT-маршрутизатором

• Для удалённых сотрудников используйте VPN-подключение

• Если публичный IP неизбежен — обязательно настройте сетевой экран и Fail2Ban

• В разделе «Сеть и Firewall» → «Сетевые интерфейсы»

Финансовая защита

Даже при хорошей технической защите стоит подстраховаться финансово. Если взлом всё-таки произойдёт, эти меры ограничат возможный ущерб.

Установите лимит расходов у провайдера

Свяжитесь с вашим провайдером телефонии и попросите:

• Установить суточный лимит расходов на исходящие звонки

• Включить запрет работы при отрицательном балансе

• Заблокировать звонки на международные и платные направления, если вы ими не пользуетесь

Не держите на счёте большие суммы

• Пополняйте баланс небольшими суммами по мере необходимости

• Настройте уведомления о расходах у провайдера, если такая возможность есть

Что делать, если взлом уже произошёл?

Если вы обнаружили, что АТС была взломана, действуйте по следующей схеме:

Шаг 1 — Немедленно изолируйте АТС

Закройте доступ к станции извне через сетевой экран. Смените все пароли — SIP-аккаунтов, веб-интерфейса, SSH.

Шаг 2 — Сохраните логи и записи разговоров

Сохраните файлы записей разговоров и логи системы отдельно — они могут понадобиться как доказательства. Со временем они могут быть перезаписаны.

Шаг 3 — Уведомите оператора связи

Свяжитесь с вашим провайдером телефонии и сообщите об инциденте. Оператор может помочь заблокировать дальнейшие звонки и зафиксировать факт взлома.

Шаг 4 — Подайте заявление в УФСБ

Обратитесь в территориальное управление ФСБ с заявлением об инциденте в сфере ИТ-безопасности. Кратко опишите что произошло, укажите что звонки совершались без вашего ведома и что вы готовы предоставить логи и записи разговоров.

Чек-лист безопасности

Пройдитесь по этому списку и убедитесь, что все пункты выполнены:

• Версия MikoPBX обновлена до актуальной

• Патч безопасности установлен (для версии 2024.1.114)

• Сетевой экран (Firewall) включён

• Правила Firewall разрешают доступ только доверенным подсетям

Полезные ссылки

• — настройка правил доступа.

• .

• — настройка сети, NAT, DNS.