Yeastar – สร้างความปลอดภัยให้ระบบของเราด้วยการใช้งาน user-agent

สวัสดีครับ เจอกันอีกแล้วกับบทความเกี่ยวกับระบบโทรศัพท์แบบไอพี

วันนี้ผมมาเสนอฟีเจอร์หนึ่งบนตู้โทรศัพท์ในแบรนด์ของเยสตาร์ (Yeastar) ฟีเจอร์ที่ว่ามันคือ “User Agent Registration”

หลายๆ คนอาจจะสงสัยมันคือ “อิหยั๋งหว่า” ฮ่าๆๆๆ

ลองนึกภาพตามนะครับ ในระบบของเรา “ระบบโทรศัพท์ไอพีนี่หละ” แน่นอนเราจะมีตู้ ซึ่งในที่นี้ ตัวอย่างในบทความนี้คือตู้ Yeastar S-Series PBX คราวนี้ เราก็จะมี IPPhone หรือ หัวโทรศัพท์ไอพี มาทำการเชื่อมต่อกับระบบของเรา ซึ่งนอกจากพวกไอพีโฟนแล้ว เราก็ยังมีพวก ซอฟท์โฟน หรือโปรแกรมที่ทำหน้าที่เป็นเสมือนหัวโทรศัพท์เครื่องหนึ่ง ซึ่งสามารถติดตั้งได้บนพวกคอมพิวเตอร์ตั้งโต๊ะ และหรือลงบนพวกสมาร์ทโฟน เป็นต้น (ตามภาพ)

จากภาพตัวอย่าง จะเห็นว่ามีอุปกรณ์ค่อนข้างหลากหลาย ที่สามารถนำมาเชื่อมต่อกับระบบของเราได้ แต่ๆๆๆๆๆ

แน่นอนกว่า หากเราอนุญาตให้อุปกรณ์ทุกๆ อย่างมาเชื่อมต่อกับระบบเราได้ “ความไม่ปลอดภัย” มันก็จะตามมาครับ

จะดีกว่าไหม หากระบบของเราสามารถกำหนดได้ว่า อุปกรณ์ใดบ้าง (ยี่ห้อ) ที่สามารถนำมาเชื่อมต่อกับระบบของเราได้ เช่น ในองค์กรของเรา อนุญาตให้ใช้โทรศัพท์ยี่ห้อ Yealink และ Grandstream เชื่อมต่อระบบของเราได้เท่านั้น อุปกรณ์อื่นๆ ห้าม หรือไม่อนุญาตให้เชื่อมต่อ รวมถึงพวกซอฟท์โซนด้วย ห้าม เพื่อความปลอดภัยของระบบเรา

ใน Yeastar มีฟีเจอร์หนึ่งชื่อว่า User Agent Registration Authorization ซึ่งเป็นอนุญาตให้อุปกรณ์ที่มีการส่งค่า User Agent ที่ตรงกับที่เราอนุญาตไว้ นั้น สามารถเชื่อมต่อระบบได้ (SIP Registration) นั่นเอง

โดยการกำหนดค่าที่ Extension ที่เราต้องการ ได้เลย (จะเป็นการอนุญาตทีละ extension สามารถกำหนดแตกต่างกันได้)

มาดูตัวอย่างวิธีการกำหนดค่ากัน

ใน WebUI ของ Yeastar S-Series PBX ให้คุณเข้าไปที่เมนู Settings แล้วเลือกที่ Extensions จากนั้นเลือก Extension ที่ท่านต้องการแก้ไข เช่น เบอร์ 1003 ให้ทำการคลิกแก้ไข (Edit) แล้วคลิกที่ Advanced ดังภาพ

จากนั้นคลิก Advance

ให้ทำเครื่องหมายถูกที่หน้า Enable User Agent Registration Authorization แล้วตรงช่อง User Agent : ให้กำหนดค่าลงไป เช่น ใส่คำว่า Yealink

คุณสามารถคลิกเครื่องหมาย + เพื่อเพิ่มรายการอื่นๆ อีกได้ สูงสุดถึง 5 รายการ

เมื่อทำการแก้ไขเสร็จเรียบร้อย ก็คลิกปุ่ม Save จากนั้นอย่าลืมกดปุ่ม Apply ด้วย เพื่อให้ค่าที่เรากำหนดไปนั่น มีผล

จากนั้น คุณลองใช้ Softphone หรือ หัวโทรศัพท์ยี่ห้ออื่นๆ ทำการเชื่อมต่อ Extension ดังกล่าวดู จะเห็นว่า ไม่สามารถเชื่อมต่อได้เลย ถึงแม้จะใส่ user & pass ต่างๆ ถูกต้องทั้งหมดแล้วก็ตาม

เมื่อเราลองเชื่อมต่อ SIP แล้ว เมื่อไม่สามารถเชื่อมต่อได้ หากเราเปิด Terminal เพื่อทำการ Debug ดูข้อมูลในระบบจะฟ้องว่า Registration Failed. Extension xxx open user agent register restrict…

เป็นการบอกว่า Extension นี้น่ะได้มีการเปิดฟีเจอร์ Register restrict ไว้ และอุปกรณ์ที่คุณนำมาเชื่อมต่อ มี User Agent เป็น Grandstream… ซึ่งไม่ตรงกับที่เรากำหนดไว้ เรากำหนดไว้เป็น “Yealink” ทำให้ระบบไม่อนุญาตให้เชื่อมต่อนั่นเอง

เพิ่มเติม เราจะรู้ได้อย่างไรว่า อุปกรณ์ของเราที่จะนำมาเชื่อมต่อ มันมี User Agent ชื่ออะไร ให้ลองใช้ Wireshark ทำการตรวจสอบแพ็คเกตของมันดูก็จะทราบว่า User Agent มันชื่ออะไร ตามตัวอย่างภาพนี้ครับ

อ๋อ ในการจับ Matching String ของ Yeastar นั่น จะดูจาก Prefix นะครับ คือดูจากซ้ายไปขวา ครับ เช่นในตัวอย่าง User agent คือ Yealink SIP-T40G 76.84.200.3 เวลามันจับ Match string มันจะจับตัวหน้าสุด คือคำว่า Yealink นั่นเองครับ

สำคัญสุดๆ ในการจับ Matching String จะเป็นลักษณะของ Case sensitive ความหมายถึง คำว่า Yealink กับคำว่า YEALINK มันคือว่าต่างกันนะครับ ตัวเล็ก ตัวใหญ่ ถือว่าต่างกัน ดังนั่นใส่ให้ดีๆ

คิดว่าน่าจะมีประโยชน์กับหลายๆ ท่านที่ต้องการเพิ่มเติมระบบความปลอดภัยให้มากยิ่งขึ้นในระบบโทรศัพท์ของท่าน เพราะไม่ใช่ว่าผู้ใช้จะเอาอุปกรณ์อะไรมาเชื่อมก็ได้ คิดจะเปลี่ยนไปใช้ซอฟท์แวร์ตัวไหนมาใช้ก็ได้ ซึ่งมันไม่มีความปลอดภัยอย่างยิ่ง นั่นเอง

หมายเหตุ : ในการใช้งาน User Agent นี้ ไม่รวมถึง Linkus Software นะครับ เพราะเป็นสินค้าของ Yeastar เอง จึงแหกกดนี้ครับ ฮ่าๆๆๆ ของตัวเองจะบล๊อคทำไม จริงม๊ะ อิอิ

ขอบคุณอีกครั้งที่อ่านมาถึงตรงนี้
อำนวย ปิ่นทอง
บริษัท โอติก เน็ตเวิร์ค จำกัด

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *