====== Рекомендации по безопасности в Askozia ======

**ВСЕГДА** рекомендуем соблюдать следующие **правила по безопасности**:\\ 

1. Установите **СЛОЖНЫЕ пароли** на учетные записи вида **«Устройства»**.\\ 
Пароль должен удовлетворять следующим **требованиям**:\\ 
  * длина пароля должна быть **длиннее** **восьми** символов;
  * пароль должен содержать **буквы** **верхнего** и **нижнего** регистра;
  * пароль должен содержать **цифры** и **специальные знаки**: ("-"), ("_"), ("[]"), ("{}"), ("@"), (";"). \\ {{ :handbook:1yvyv.png |}}\\ 

2. В учетной записи вида **«Устройства»** в разделе **«Дополнительно»** следует указать разрешенные подсети, из которых можно подключиться к учетной записи. Используйте настройку **"SIP фильтр по IP"**.\\ {{ :handbook:2fyfy.png |}}\\ 

3. В учетной записи вида **"Провайдеры"** в разделе **«Дополнительно»** следует указать разрешенные подсети, из которых можно подключиться к учетной записи. Используйте настройку **"SIP фильтр по IP"**.\\ {{ :handbook:3yavya.png |}}\\ 

4. **Обязательно** включите **Firewall**. Firewall позволяет блокировать внешние соединения с системой, что значительно снижает угрозу атаки на АТС. Инструкции по настройке Firewall находятся [[handbook:security:firewall|здесь]].\\ 

5. Включите **Fail2ban**. Fail2ban блокирует IP адреса с нестандартной активностью, например, подбор паролей. Будьте внимательны, Fail2ban не поможет при использовании простейших паролей. Инструкции по настройке Fail2ban находятся [[handbook:security:Fail2ban|здесь]].\\ 

6. С поставщиком услуг связи не допускайте «минусов», то есть не должно быть возможности уйти в кредит.
Запретите на уровне поставщика услуг связи звонки по «чужим» направлениям. Не допускайте большого положительного баланса.\\ 

7. **Никогда** не публикуйте в интернет **порты web-интерфейса** (80 / 23600) или **порты SSH / FTP** (22 / 21). Если Вы открываете какой-либо порт Askozia для доступа из Интернет или локальной сети, то убедитесь, что соединение защищено (как минимум паролем).