Содержание раздела

Приложение А. Назначение контактов разъёмов кабеля

Для SMG-2016, 3016

Назначение контактов разъемов RJ-48 для подключения потоков E1 E1 Line 0..15 соответствует спецификации ISO/IEC 10173 и приведено в таблице ниже.

Таблица А1 – Назначение контактов разъемов RJ-48 для подключения потоков E1

Назначение контактов разъема RJ-45 консольного порта Console приведено в таблице ниже.

Таблица А2 – Назначение контактов разъемов RJ-45 консольного порта

Назначение контактов разъемов RJ-45 для подключения внешнего источника синхронизации Sync.0/Sync.1 приведено в таблице ниже.

Таблица А3 – Назначение контактов разъемов RJ-45 для подключения внешнего источника синхронизации

¹ Контакты 1 и 4 электрически соединены между собой внутри устройства
² Контакты 2 и 5 электрически соединены между собой внутри устройства

Для SMG-1016M

E1 Line 0..7 E1                                                           E1 Line 8..15

Рисунок 31 – Назначение контактов разъемов E1 Line

Контакты ПРМ предназначены для приема сигнала из канала в устройство;

Контакты ПРД предназначены для передачи сигнала из устройства в канал;

Контакты Синхр предназначены для синхронизации устройства от внешних источников (входное сопротивление 120 Ом).

Console

Рисунок 32 – Назначение контактов разъема Console

Рисунок 33 – Схема кабеля для подключения к ПОРТ1, ПОРТ2

Таблицы соответствия цвета провода и контакта разъема E1 Line

Таблица А4 – Соответствие цвета провода и контакта разъема E1 Line (кабель NENSHI NSPC-7019-18)

Таблица А5 – Соответствие цвета провода и контакта разъема E1 Line (кабель HANDIAN UTP 18PR)

Приложение Б. Резервное обновление встроенного ПО  

Резервное обновление встроенного ПО устройства через RS-232

В случае, когда не удается обновить ПО через Web-конфигуратор или консоль (Telnet, SSH), существует возможность резервного обновления ПО через RS-232.

Для того чтобы обновить встроенное ПО устройства, необходимы следующие программы:

• Программа терминалов (например, TERATERM);
• Программа TFTP-сервера.

Последовательность действий при обновлении устройства:

1. Подключиться к порту Ethernet устройства;
2. Подключить скрещенным кабелем Com-порт компьютера к Console-порту устройства;
3. Запустить терминальную программу;
4. Настроить скорость передачи 115200, формат данных 8 бит, без паритета, 1 бит стоповый, без управления потоком;
5. Запустить на компьютере программу TFTP сервера и указать путь к папке smg_files, в ней создать папку smg, в которую поместить файлы SMG_kernel, SMG_initrd (компьютер, на котором запущен TFTP сервер и устройство должны находиться в одной сети);

6. Включить устройство и в окне терминальной программы остановить загрузку путем введения команды stop:

   U-Boot 2009.06 (Feb 09 2010 – 20:57:21) 
   CPU: AMCC PowerPC 460GT Rev. A at 800 MHz (PLB=200, OPB=100, EBC=100 MHz) Security/Kasumi support Bootstrap Option B – Boot ROM Location EBC (16 bits) 32 kB I-Cache 32 kB D-Cache 
   Board: SMG-1016Mv2 board, AMCC PPC460GT Glacier based, 2*PCIe, Rev. FF 
   I2C: ready 
   DRAM: 512 MB 
   SDRAM test phase 1: 
   SDRAM test phase 2: 
   SDRAM test passed. Ok! 
   FLASH: 64 MB 
   NAND: 128 MiB 
   DTT: 1 FAILED INIT 
   Net: ppc_4xx_eth0, ppc_4xx_eth1 
   Type run flash_nfs to mount root filesystem over NFS 
   Autobooting in 3 seconds, press 'stop' for stop
   =>

7. Ввести set ipaddr <IP-адрес устройства> <ENTER>:

   set ipaddr 192.168.2.2

8. Ввести set netmask <сетевая маска устройства> <ENTER>:

   set netmask 255.255.255.0

9. Ввести set serverip <IP-адрес компьютера, на котором запущен tftp сервер> <ENTER>:

   set serverip 192.168.2.5

10. Ввести mii si <ENTER> для активации сетевого интерфейса:

    => mii si 
    Init switch 0: ..Ok! 
    Init switch 1: ..Ok! 
    Init phy 1: ..Ok! 
    Init phy 2: ..Ok!
    =>

11. Обновить ядро Linux командой run flash_kern:

    => run flash_kern 
    About preceeding transfer (eth0): 
    - Sent packet number 0 
    - Received packet number 0 
    - Handled packet number 0 
    ENET Speed is 1000 Mbps – FULL duplex connection (EMAC0) 
    Using ppc_4xx_eth0 device 
    TFTP from server 192.168.2.5; our IP address is 192.168.2.2 
    Filename ' smg/SMG_kernel'. 
    Load address: 0x400000 
    Loading: ################################################################# 
    ################################### 
    done 
    Bytes transferred = 1455525 (1635a5 hex) 
    Un-Protected 15 sectors 
    ............... done 
    Erased 15 sectors 
    Copy to Flash... 9....8....7....6....5....4....3....2....1....done
    =>

12. Обновить файловую систему командой run flash_initrd:

    => run flash_initrd 
    Using ppc_4xx_eth0 device 
    TFTP from server 192.168.2.5; our IP address is 192.168.2.2 
    Filename ' smg/SMG_initrd'. 
    Load address: 0x400000 
    Loading: ################################################################# 
    ################################################################# 
    ################################################################# 
    ################################################################# 
    ################################################################# 
    ################################################################# 
    ################################################################# 
    done 
    Bytes transferred = 25430113 (1840861 hex) 
    Erase Flash Sectors 56-183 in Bank # 2 
    Un-Protected 256 sectors 
    ........................................................... done 
    Erased 256 sectors Copy to Flash... 9....8....7....6....5....4....3....2....1....done
    =>

13. Запустить устройство командой run bootcmd.

Резервное обновление встроенного ПО устройства с USB-Flash накопителя

В случае, когда остальные способы обновления ПО недоступны, существует возможность обновления ПО при помощи USB-flash накопителя.

Для того чтобы обновить встроенное ПО устройства при помощи USB-flash, необходимо следующие:

• USB-flash накопитель;

• Программа терминалов (например, TERATERM).

Последовательность действий при обновлении устройства:

1. Скопировать файл ПО в корневую директорию USB-flash накопителя;

2. Подключить скрещенным кабелем Com-порт компьютера к Console-порту устройства, либо установить соединение с устройством по протоколу Telnet/SSH;

3. Запустить терминальную программу;

4. Настроить скорость передачи 115200, формат данных 8 бит, без паритета, 1 бит стоповый, без управления потоком (в случае соединения по RS-232);

5. Включить устройство и дождаться его загрузки;

6. После загрузки подключится в терминальном режиме по протоколу Telnet/SSH либо по RS-323;

7. В режиме CLI ввести команду: firmware update <file-name> usb;

   В случае если режим CLI недоступен, обновление возможно в режиме shell, для этого нужно ввести в режиме shell: /usr/local/scripts/get_firmware <file-name> usb. Где <file-name> – наименование файла ПО;

8. Дождаться завершения обновления ПО и перезапустить устройство.

Приложение В. Взаимодействие устройства с системами мониторинга    

Для возможности отслеживания в реальном времени аварийных ситуаций, возникающих на устройстве необходимо настроить работу с системой мониторинга.

Отсутствие каких-либо аварий считается нормальной работой, при возникновении аварийного события состояние устройства меняется на аварийное, при нормализации всех текущих аварий восстанавливается нормальное рабочее состояние.

Возможные индикации состояния устройства:

• световая индикация на лицевой панели – светодиод Alarm (индикация светодиода Alarm описана в меню 1.6.0. Описание изделий SMG (SIGTRAN) раздел «Световая индикация»),

• индикация самой критичной аварии в шапке web-конфигуратора (более подробная информация приведена в журнале работы),

• передача событий об авариях в систему мониторинга по протоколу SNMP (trap, inform).

События, по которым генерируются аварийные состояния, делятся на безусловные и опциональные:

• Безусловные – аварии, выдача индикации о которых не конфигурируется, к ним относятся:

• • CONFIG – критическая авария, авария файла конфигурации;

  • MEGACO-MODULE – критическая авария, авария программного модуля H.248/Megaco, отвечающего за работу IP-телефонии;

  • MGCР-MODULE – критическая авария, авария программного модуля MGCP, отвечающего за работу IP-телефонии;

  • SM-VP DEVICE – авария, неисправность IP-субмодуля SM-VP;

  • SYNC – авария при пропадании источника синхронизации либо предупреждение при работе от низкоприоритетного источника синхронизации;

  • PM-POWER-STATE – предупреждение об отсутствии напряжения на выходе одного из установленных блоков питания.

• Опциональные – аварии, выдача индикации о которых конфигурируется соответствующими настройками, к ним относятся:

• • STREAM – критическая авария, поток Е1 не в работе;

  • STREAM-REMOTE – предупреждение, удаленная авария потока Е1;

  • STREAM-SLIP – предупреждение, на потоке проскальзывания.

Данные аварии конфигурируются в настройке физических параметров потоков Е1 (меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел «Мониторинг потоков Е1»).

По умолчанию индикация об опциональных авариях отключена, то есть при взаимодействии с системами мониторинга необходимо сконфигурировать индикацию аварий по всем включенным в работу потокам Е1.

Для взаимодействия с системой мониторинга по протоколу SNMP на устройстве необходимо включить протокол SNMP и настроить выдачу сообщений SNMP TRAP или INFORM на IP-адрес сервера мониторинга.

Настройка параметров через web-конфигуратор

1. Настройка индикации опциональных аварий при конфигурировании потока Е1 (меню «Потоки E1/Физические параметры», см. меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел «Настройка физических параметров»).
   
   Для индикации аварий LOS, AIS на потоке Е1 необходимо установить флаг «Индикация Alarm».Для индикации аварии RAI необходимо установить флаг «Индикация Remote Alarm».Для индикации о проскальзываниях (SLIP) на потоке необходимо поставить флаг «Индикация SLIP» и настроить таймер обнаружения SLIP.
2. Включение протокола SNMP производится в меню «Настройки TCP/IP/Сетевые интерфейсы» (меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел «Сетевые параметры»).
   Для настройки необходимо установить флаг «Использовать SNMP».
   
3. Настройка выдачи SNMP трапов производится в меню «Сетевые сервисы/SNMP» (меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор → раздел «Настройки SNMP»).

Для настройки необходимо указать тип SNMP сообщения (TRAPv1, TRAPv2, INFORM), пароль (Community), IP-адрес и порт приемника трапов SNMP.

После настройки и применения конфигурации необходимо перезапустить SNMP-агента, нажав на кнопку «Перезапустить SNMPd».

Приложение Г. Управление и мониторинг по протоколу SNMP    

Шлюз поддерживает мониторинг и конфигурирование при помощи протокола SNMP (Simple Network Management Protocol).

Реализованы следующий функции мониторинга:

• сбор общей информации об устройстве, показаниях датчиков, установленном ПО;

• состояние потоков Е1 и их каналов;

• состояние VoIP субмодулей и их каналов.

Реализованы следующие функции управления:

• обновление программного обеспечения устройства;

• сохранение текущей конфигурации;

• перезагрузка устройства.

В таблицах с описанием OID в колонке “запросы” будет принят следующий формат описания:

• Get – значение объекта или дерева можно прочитать, отправив GetRequest;

• Set – значение объекта можно установить, отправив SetRequest (обратите внимание, при установке значения через SET к OID следует привести к виду “OID.0”);

• {} – имя объекта или OID;

• N – в команде используется числовой параметр типа integer;

• U – в команде используется числовой параметр типа unsigned integer;

• S – в команде используется строковый параметр;

• A – в команде используется IP-адрес (обратите внимание, некоторые команды, принимающие как аргумент IP-адрес, используют строковый тип данных “s”).

Таблица Г1 – Примеры команд

Примеры выполнения запросов

Нижеприведённые запросы эквивалентны. На примере запроса объекта activeCallsCount, который отображает число текущих вызовов на SMG.

$ snmpwalk -v2c -c public -m +ELTEX-SMG 192.0.2.1 activeCallCount
ELTEX-SMG::activeCallCount.0 = INTEGER: 22

$ snmpwalk -v2c -c public -m +ELTEX-SMG 192.0.2.1 smg.42.1
ELTEX-SMG::activeCallCount.0 = INTEGER: 22

$ snmpwalk -v2c -c public -m +ELTEX-SMG 192.0.2.1 1.3.6.1.4.1.35265.1.29.42.1
ELTEX-SMG::activeCallCount.0 = INTEGER: 22

$ snmpwalk -v2c -c public 192.0.2.1 1.3.6.1.4.1.35265.1.29.42.1
SNMPv2-SMI::enterprises.35265.1.29.42.1.0 = INTEGER: 22

Описание OID из MIB ELTEX-SMG

Таблица Г2 – Общая информация и датчики

Таблица Г3 – Настройки syslog

Таблица Г4 – Мониторинг потоков Е1

Поддержка OID MIB-2 (1.3.6.1.2.1)

SMG поддерживает следующие ветки MIB-2:

• system (1.3.6.1.2.1.1) – общая информация о системе;

• interfaces (1.3.6.1.2.1.2) – информация о сетевых интерфейсов;

• snmp (1.3.6.1.2.1.11) – информация о работе SNMP.

Приложение Д. Обеспечение функций СОРМ

Программно-аппаратные средства устройства позволяют выполнить технические требования к системе технических средств по обеспечению функций оперативно-розыскных мероприятий на электронных АТС, утвержденные приказом Госкомсвязи России от 20.04.1999 №70 и приказом Минкомсвязи России №268 от 19.11.2012. Организация каналов передачи данных (КПД) между SMG и ПУ СОРМ для передачи управляющей информации и информации о контролируемых соединениях предусматривает вариант, представленный на рисунке ниже.

Рисунок 34 – Схема подключения SMG к ПУ СОРМ

Медиашлюз SMG позволяет организовать один поток E1 до пульта СОРМ спецслужб. Один поток Е1 СОРМ содержит 28 разговорных каналов (КСЛ – контрольно соединительных линий) для прослушивания контролируемых абонентов.

Расчет необходимого числа субмодулей при использовании СОРМ

При использовании шлюза для коммутации сетей TDM и VoIP, количество субмодулей определяется необходимым количеством каналов для обслуживания вызовов. Вызов между двумя VoIP-интерфейсами или SIP-абонентами задействует два канала субмодуля VoIP.

Данные о количестве VoIP-каналов, поддерживаемых субмодулем в зависимости от типа кодека, приведены в меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор →  раздел «Основные технические параметры».

Таблица Д1 – Количество свободных каналов при использовании СОРМ для различных кодеков

Логика работы постановки на контроль и перехватов вызовов СОРМ

ПУ СОРМ подключается по потоку Е1 и, при необходимости, по TCP/IP.

Первоначально с ПУ СОРМ подается команда старта технических средств СОРМ. Затем происходит закрепление групп КСЛ (канальных интервалов потока Е1 для прослушки вызовов) для совмещенного (в одном КИ слышны оба абонента) или раздельного (один абонент в одном КИ, второй в другом) контроля. Одна группа КСЛ используется либо только для совмещенного, либо только для раздельного контроля.

Далее идет «постановка абонента на контроль» (команда №5). Закрепление на контроль идет в формате Е.164:

• междугородные российские номера <7>+<код города>+<номер телефона>;
• международные номера <код страны>+<код города>+<номер телефона>;

Параметры принятые в команде анализируются на корректность: соответствие типа объекта (абонент сети по полному/неполному номеру или пучок каналов) и признака номера (абонент России, абонент другой страны), номера группы КСЛ с типом контроля (совмещенный/раздельный), указанной длины номера с количеством цифр в номере.

Соответствие типа контроля и признака номера следующее:

• тип объекта «абонент сети по полному/неполному номеру» может иметь признак «абонент России», «абонент другой страны»;
• тип объекта «пучок каналов» ставится на контроль без признака номера телефона.

После этого идет сравнение полученного номера, типа и признака с префиксами CdPN нулевого плана нумерации. Признак префикса определяется по параметру «направление/объект»:

• междугородная связь – абонент России;
• международная связь – абонент другой страны.

Если подходящий абонент/префикс найден, то даем подтверждение команды и заносим номер и его параметры в БД СОРМ. Иначе отклоняем выполнение команды с указанием кода ошибки, по причине которой не произошла постановка на контроль.

На этом постановка на контроль закончена. Начиная со следующего вызова будет осуществляться «перехват вызовов» контролируемого абонента.

При поступлении вызова производится сверка номеров CgPN, CdPN и Redirecting PN (при соответствующей настройке) с БД СОРМ. Если номер стоит на контроле — выделяем для него КСЛ в соответствии с типом контроля и выдаем на ПУ информацию об этапах установления соединения (41-43).

Методика настройки медиашлюза SMG для сдачи протокола СОРМ в соответствии с Приказом Минкомсвязи РФ от 19.11.2012 №268

Постановка на контроль – получение от ПУ СОРМ команды №5 с номером абонента, который необходимо контролировать, а также его параметров контроля. При наличии номера в конфигурации его номер и параметры контроля заносятся во внутреннюю базу данных устройства, при этом на ПУ СОРМ будет отправлено подтверждение успешного выполнения команды. Если номер отсутствует в конфигурации или какие-либо параметры в команде №5 были заданы неверно, на ПУ СОРМ будет отправлено сообщение о невыполнении данной команды.

Перехват вызова – передача ПУ СОРМ сообщений обо всех этапах установления соединения абонента, поставленного на контроль (занесенного во внутреннюю базу данных устройства).

Для успешной сдачи функции оперативно-розыскных мероприятий необходимо произвести следующие действия:

1. Убедиться, что в шлюзе установлено не менее двух субмодулей SM-VP-M300. Количество установленных субмодулей можно посмотреть в web-конфигураторе в меню 1.6.0. Конфигурирование устройств SMG (SIGTRAN) → подменю 1.6.0. Настройка SMG (SIGTRAN) через web-конфигуратор →  раздел Мониторинг VoIP субмодулей;
2. Обновить ПО на версию не менее V.1.3.0.ххх;
3. Установить лицензию СОРМ;
4. Организовать поток Е1 между медиашлюзом SMG и ПУ СОРМ Спецслужб:
   
   • 
     
     • расшить поток Е1;
     • в конфигурации шлюза включить поток;
     • в конфигурации шлюза на потоке выбрать протокол СОРМ;
     • в конфигурации шлюза на потоке СОРМ выбрать спецификацию RUS Приказ №268;
     • при необходимости настроить модификаторы и установить их в настройках данного потока;
     • убедиться, что на каналах 1 и 2 установлен режим работы канала «DTE», сообщить сотрудникам спецслужб, что они должны установить на своем оборудовании режим «DCE»;
     • убедиться, что на потоке нет увеличения счетчиков положительных и отрицательных слипов (настроена синхронизация между SMG и пультом СОРМ)

   После выбора протокола СОРМ на одном из потоков необходимо произвести перезапуск ПО.

5. В плане нумерации настроить отбор вызовов в соответствии с требованиями Приказа Минкомсвязи РФ от 19.11.2012 №268.
   В Приказе Минкомсвязи РФ от 19.11.2012 №268 описан формат номеров, в котором абоненты должны закрепляться на контроль, и требования к выдаче номеров А и Б в сообщениях о перехвате вызовов абонентов.
   Междугородные абоненты закрепляются на контроль и передаются в сообщениях перехвата в формате 11 цифр с префиксом 7 в начале номера.
   Международные абоненты закрепляются на контроль и передаются в сообщениях перехвата без префикса выхода на международную сеть (без префикса 810).
6. В настройках групп линий ОКС-7 добавьте необходимо количество групп линий ОКС-7 по количеству взаимодействующих пар точек доступа подсистем ISUP и задайте значения их кодов. Речевая информация передаваемая по каналам между этими точками впоследствии будет отправляться на пульт СОРМ.
7. При необходимости модифицировать номера, принимаемые в сообщениях от пульта СОРМ либо передаваемые в сторону пульта СОРМ, необходимо настроить "Модификаторы". Данные "Модификаторы" нужно установить на поток Е1, сконфигурированный для работы по протоколу СОРМ.

8. В настройках потока Е1 с настроенной сигнализацией M2UA установите группы линий ОКС-7 и задайте нумерацию каналов CIC.

   СОРМ-ирование осуществляется только на для потоков с сигнализацией M2UA.

Обозначения и коды аварий

При возникновении аварий потока Е1 (потеря сигнала (LOS), удаленная авария (RAI)) и аварии на пульт СОРМ будет отправлено сообщение №1 с соответствующим кодом аварии.

Таблица Д2 – Обозначения и коды аварий

Причины отказа приёма и невыполнения команд

Таблица Д3 – Причины отказа приёма команд, отправляемые в сообщении 7, определенные в Приказе Минкомсвязи РФ от 19.11.2012 №268

Таблица Д4 – Причины невыполнения команд, отправляемые в сообщении 8, определенные в Приказе Минкомсвязи РФ от 19.11.2012 №268

Таблица Д5 – Нестандартные причины отказа приёма и невыполнения команд, отправляемые в сообщениях 7 и 8, определенные в SMG

Приложение Е. Рекомендации по безопасности

При установке и настройке SMG следует уделить внимание настройкам безопасности – организации доступа к управлению и мониторингу АТС, а также безопасности обработки вызовов. Также следует уделить внимание резервному копированию конфигурации.

Организация доступа подразумевает:

• смену стандартных паролей на web и CLI;

• создание ограниченных учётных записей для отдельных видов настроек и мониторинга;

• настройку ограничений IP-адресов и/или подсетей, с которых может производиться конфигурирование и мониторинг;

• настройку статического брандмауэра, ограничивающих доступ к интерфейсам сигнализации и управления только доверенными узлами;

• настройку динамического брандмауэра, что позволит в автоматическом режиме отсечь нежелательные попытки доступа для общедоступных интерфейсов.

Смена паролей на web и CLI

Смена паролей производится через меню «Пользователи: Управление».

Смена пароля web для учётной записи admin производится в блоке «Установить пароль администратора веб-интерфейса».

Смена пароля CLI для учётной записи admin производится в блоке «Установить пароль администратора для telnet и ssh». Более подробную информацию по настройке можно найти в разделе меню «Управление».

Смена пароля для учетной записи root производится через shell. Для того чтобы изменить пароль нужно подключиться к SMG через ssh/console и выполнить следующие команды:

SMG2016>

SMG2016> sh (выход из режима cli в режим shell)

/home/admin #

/home/admin #

/home/admin # passwd root (команда для смены пароля root)

Changing password for root

New password: (ввести новый пароль)

Retype password: (повторить новый пароль)

Password for root changed by root

/home/admin #

/home/admin #

/home/admin # save

tar: removing leading '/' from member names

***Saved successful

New image 0

Restored successful

/home/admin #

Создание ограниченных учётных записей

Создание ограниченных учётных записей для web производится через меню «Пользователи: Управление».

• В блоке «Пользователи веб-интерфейса» нажать «Добавить»;

• Задать имя и пароль пользователя;

• Выбрать разрешения доступа.

Для CLI создание ограниченных учётных записей не поддерживается. Более подробную информацию по настройке можно найти в разделе «Управление».

Ограничение доступа к интерфейсам сигнализации и управления

Настройка ограничений производится в меню «Настройки TCP/IP -> «Сетевые интерфейсы».

• Зайти в настройки сетевого интерфейса.

• В блоке «Сервисы» отключить все неиспользуемые на интерфейсе протоколы управления и сигнализации.

• Для интерфейса управления рекомендуется разрешать доступ только к web-интерфейсу и ssh

Более подробную информацию по настройке можно найти в разделе Сетевые интерфейсы.

Доступ к устройству по протоколу telnet должен быть запрещен через публичный IP-адрес.

Управление должно быть разрешено НЕ через публичные адреса. Если все-таки используется управление через публичный IP, то необходимо обязательно использовать список разрешенных IP-адресов — нужно внести в белый список адрес, с которого будет разрешено подключение. Для всех остальных доступ должен быть запрещен.

СМЕНА СТАНДАРТНЫХ ПОРТОВ ДЛЯ ДОСТУПА К УСТРОЙСТВУ

Настройка производится в меню «Настройки TCP/IP» -> «Сетевые параметры»

• Сменить стандартные (22 для ssh и 23 для telnet) порты доступа к устройству по протоколам ssh/telnet

• Стандартный порт для доступа к устройству через web (по протоколу http) можно изменить через CLI. Для этого необходимо подключиться к SMG через ssh/console и выполнить следующие команды:

SMG2016>

SMG2016> config

Entering configuration mode.

SMG2016-[CONFIG]> network

Entering Network mode.

SMG2016-[CONFIG]-NETWORK>

PORT Number in the range 1-65535

SMG2016-[CONFIG]-NETWORK> set settings web (указать необходимый порт в диапазоне 1-65535)

Для доступа к web-интефейсу рекомендуется использовать протокол HTTPS. Настроить его работу можно в разделе «Безопасность» → «Настройка SSL/TLS». В настройках SSL/TLS «Протокол взаимодействия с web-конфигуратором» должен быть выбран режим «только HTTPS». Также возможно использование авторизации через PAM/RADIUS. Более подробную информацию по настройке можно найти в разделе Настройка SSL/TLS.

НАСТРОЙКА СПИСКА РАЗРЕШЕННЫХ IP-АДРЕСОВ

Настройка производится в меню «Безопасность» -> «Список разрешенных IP адресов».

• Внести в белый список адреса, с которых разрешен доступ к устройству через web-конфигуратор и по протоколам telnet/ssh;

• Включить опцию «Доступ только для разрешенных IP адресов»;

• Нажать кнопки «Применить» и «Подтвердить».

Более подробную информацию по настройке можно найти в разделе Список разрешенных IP-адресов.

Настройка статического брандмауэра

Статический брандмауэр служит для ограничения доступа к сетевым интерфейсам по списку заранее заданных правил.

Настройка производится в меню «Безопасность» -> «Статический брандмауэр».

• Зайти в настройки брандмауэра;

• Создать профиль брандмауэра, нажав кнопку «Добавить»;

• Задать имя профиля, нажать «Далее»;

• Задать правила фильтрации для входящего и исходящего трафика. При этом надо помнить, что если входящий или исходящий пакет не попал ни под одно правило фильтрации, то для него применяется действие «Accept» (разрешить прохождение пакета). Поэтому, если требуется разрешить доступ лишь некоторым узлам и запретить всем прочим, то необходимо конфигурировать профиль брандмауэра так, чтобы последним правилом было правило с типом источника и назначение «Любое» и действием «Reject» или «Drop» (отбросить пакет с уведомлением по ICMP или отбросить без уведомления);

• В блоке «Интерфейс» выбрать сетевые интерфейсы, для которых будет применяться фильтрация;

• Нажать кнопку «Сохранить», расположенную под списком интерфейсов;

• Нажать кнопку «Применить», расположенную вверху страницы;

• Нажать кнопку «Сохранить», расположенную над таблицами фильтров.

Более подробную информацию по настройке можно найти в разделе Статический брандмауэр.

Настройка динамического брандмауэра

Динамический брандмауэр служит для ограничения доступа к сетевым интерфейсам на основе анализа запросов к различным сервисам. При обнаружении повторяющихся неудачных попыток обращения к сервису с одного и того же IP адреса динамический брандмауэр производит его временную блокировку. Если адрес попадает во временную блокировку несколько раз, он блокируется постоянно в чёрном списке адресов.

Настройка производится в меню «Безопасность» -> «Динамический брандмауэр».

• Зайти в настройки брандмауэра;

• Внести в белый список адреса доверенных узлов и подсетей;

• Поставить флажок «Включить»;

• Нажать кнопку «Применить».

Более подробную информацию по настройке можно найти в разделе Динамический брандмауэр.

Не рекомендуется для сигнализации SIP использовать стандартный порт 5060.

Необходимо периодически проверять информацию в разделе «Безопасность» → «Журнал заблокированных адресов». В нем отображается список заблокированных динамическим брандмауэром адресов, с которых была произведена неудачная попытка получения доступа к устройству.

Рекомендуется периодически менять пароли для доступа к устройству через web/ssh. Политика смены паролей должна определяться вашей службой безопасности.