Eltex Documentation
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Администратор

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

При установке и настройке офисных АТС и IP-АТС следует уделить внимание настройкам безопасности - организации доступа к управлению и мониторингу АТС, а также безопасности обработки вызовов. Также следует уделить внимание резервному копированию конфигурации. Организация доступа подразумевает:

  • смену стандартных паролей на WEB и CLI;
  • создание ограниченных учётных записей для отдельных видов настроек и мониторинга;
  • настройку ограничений IP-адресов и/или подсетей, с которых может производиться конфигурирование и мониторинг;
  • настройку статического брандмауэра, ограничивающих ограничивающего доступ к интерфейсам сигнализации и управления только доверенными узлами;
  • настройку динамического брандмауэра, что позволит в автоматическом режиме отсечь нежелательные попытки доступа для общедоступных интерфейсов;
  • настройку маршрутизации вызовов с учётом того, что с общедоступного интерфейса могут приходить нежелательные звонки.

...

Смена паролей производится через меню "«Пользователи: Управление"Управление».

Смена пароля WEB для учётной записи admin производится в блоке "Установить «Установить пароль администратора веб-интерфейса"интерфейса».

Смена пароля CLI для учётной записи admin производится в блоке "Установить «Установить пароль администратора для telnet и ssh"ssh».

Создание ограниченных учётных записей

Создание ограниченных учётных записей для WEB производится через меню "«Пользователи: Управление"Управление».

  • В блоке "Пользователи «Пользователи веб-интерфейса" нажать "Добавить"интерфейса» нажать «Добавить»;
  • Задать имя и пароль пользователя;
  • Выбрать разрешения доступа.

...

Настройка ограничений производится в меню "«Настройки ICP/IP IP» -> Сетевые интерфейсы"«Сетевые интерфейсы».

  • Зайти в настройки сетевого интерфейса.
  • В блоке "Сервисы" «Сервисы» отключить все неиспользуемые на интерфейсе протоколы управления и сигнализации.

Настройка статического

...

брандмауэра

Статический брандмауэр служит для ограничения доступа к сетевым интерфейсам по списку заранее заданных правил. Настройка производится в меню "Безопасность «Безопасность» -> Статический брэндмауэр"«Статический брандмауэр».

  • Зайти в настройки брэндмауэрабрандмауэра;
  • Создать профиль брэндмауэрабрандмауэра, нажав кнопку "Добавить" «Добавить»;
  • Задать имя профиля, нажать "Далее" «Далее»;
  • Задать правила фильтрации для входящего и исходящего трафика. При этом надо помнить, что если входящий или исходящий пакет не попал ни под одно правило фильтрации, то для него применяется действие "Accept" «Accept» (разрешить прохождение пакета). Поэтому, если требуется разрешить доступ лишь некоторым узлам и запретить всем прочим, то необходимо конфигурировать профиль брэндмауэра брандмауэра так, чтобы последним правилом было правило с типом источника и назначение "Любое" «Любое» и действием "Reject" или "Drop" «Reject» или «Drop» (отбросить пакет с уведомлением по ICMP или отбросить без уведомления);
  • В блоке "Интерфейс" «Интерфейс» выбрать сетевые интерфейсы, для которых будет применяться фильтрация;
  • Нажать кнопку "Сохранить" «Сохранить», расположенную под списком интерфейсов;
  • Нажать кнопку "Применить" «Применить», расположенную вверху страницы;
  • Нажать кнопку "Сохранить" «Сохранить», расположенную над таблицами фильтров.

Настройка динамического

...

брандмауэра

Динамический брандмауэр служит для ограничения доступа к сетевым интерфейсам на основе анализа запросов к различным сервисам. При обнаружении повторяющихся неудачных попыток обращения к сервису с одного и того же IP-адреса динамический брэндмауэр брандмауэр производит его временную блокировку. Если адрес попадает во временную блокировку несколько раз, он блокируется постоянно в чёрном списке адресов. Настройка производится в меню "Безопасность «Безопасность» -> Динамический брэндмауэр"«Динамический брандмауэр».

  • Зайти в настройки брандмауэра;
  • Внести в белый список адреса доверенных узлов и подсетей;
  • Поставить флажок "Включить"«Включить»;
  • Нажать кнопку "Применить" «Применить».

Замечание по настройке маршрутизации вызовов

Описанные в этом руководстве методики настройки соединения с городской АТС упрощены с целью сократить их описание. Однако это может повлечь за собой проблему отработки фродовых вызовов. Например, описание подключения городских транков подразумевает, что SIP-абоненты и городские транки во-первых, находятся в одном плане нумерации. Во-вторых, план нумерации предельно прост и проверяет только Б-номера. Что Это позволяет, например, сделать вызов извне на городской транк с Б-номером дорогого направления и тем самым совершить звонок за счёт компании. С одной стороны, опасность этого нивелируется тем, что транк соединён с городской АТС, откуда подобные вызовы поступать не могут. С другой стороны, нельзя исключать возможность взлома городской АТС или ошибки в настройках маршрутизации вызовов на ней.

Настройка проверки при маршрутизации как Б-, так и А-номера в данном случае помочь не может, поскольку одновременное указание масок CgPN и CdPN в префиксе отрабатывает отрабатывается по правилу ИЛИ - префикс считается найденным, если подходит номер CgPN или номер CdPN. Поэтому настоятельно рекомендуется комбинировать настройки подключения к городской АТС вместе с настройками маршрутизации, описанными в разделах "Настройка «Настройка ограничений связи для абонентов" абонентов» и "Разделение «Разделение входящей и исходящей связи планами нумерации"нумерации».