При установке и настройке SMG следует уделить внимание настройкам безопасности — организации доступа к управлению и мониторингу АТС, а также безопасности обработки вызовов. Также следует уделить внимание резервному копированию конфигурации.
Организация доступа подразумевает:
смену стандартных паролей на WEB и CLI;
создание ограниченных учётных записей для отдельных видов настроек и мониторинга;
настройку ограничений IP-адресов и/или подсетей, с которых может производиться конфигурирование и мониторинг;
настройку статического брандмауэра, ограничивающего доступ к интерфейсам сигнализации и управления только доверенными узлами;
настройку динамического брандмауэра, что позволит в автоматическом режиме отсечь нежелательные попытки доступа для общедоступных интерфейсов.
Применение SMG в публичной сети нежелательно без использования дополнительных средств защиты, таких как пограничный контроллер сессий (SBC), межсетевой экран (firewall) и т. п. |
Смена паролей для учетных записей admin/root является обязательной для обеспечения безопасности устройства. |
Смена паролей производится через меню «Пользователи: Управление».
Смена пароля WEB для учетной записи admin производится в блоке «Установить пароль администратора веб-интерфейса».
Смена пароля CLI для учётной записи admin производится в блоке «Установить пароль администратора для telnet и ssh». Более подробную информацию по настройке можно найти в разделе 3.1.27 Меню «Управление».
Смена пароля для учетной записи root производится через shell. Для того чтобы изменить пароль, нужно подключиться к SMG через ssh/console и выполнить следующие команды:
SMG200>
SMG200> sh (выход из режима cli в режим shell)
/home/admin #
/home/admin #
/home/admin # passwd root (команда для смены пароля root)
Changing password for root
New password: (ввести новый пароль)
Retype password: (повторить новый пароль)
Password for root changed by root
/home/admin #
/home/admin #
/home/admin # save
tar: removing leading '/' from member names
***Saved successful
New image 0
Restored successful
/home/admin #
Создание ограниченных учётных записей для WEB производится через меню «Пользователи: Управление».
В блоке «Пользователи веб-интерфейса» нажать «Добавить»;
Задать имя и пароль пользователя;
Выбрать разрешения доступа.
Для CLI создание ограниченных учётных записей не поддерживается. Более подробную информацию по настройке можно найти в разделе 3.1.27 Меню «Управление».
Настройка ограничений производится в меню «Настройки TCP/IP» -> «Сетевые интерфейсы».
Зайти в настройки сетевого интерфейса;
В блоке «Сервисы» отключить все неиспользуемые на интерфейсе протоколы управления и сигнализации;
Для интерфейса управления рекомендуется разрешать доступ только к web-интерфейсу и ssh.
Более подробную информацию по настройке можно найти в разделе 3.1.15.3 Сетевые интерфейсы.
Доступ к устройству по протоколу telnet должен быть запрещен через публичный IP-адрес.
Управление должно быть разрешено НЕ через публичные адреса. Если все-таки используется управление через публичный IP, то необходимо обязательно использовать список разрешенных IP-адресов — нужно внести в белый список адрес, с которого будет разрешено подключение. Для всех остальных адресов доступ должен быть запрещен.
Настройка производится в меню «Настройки TCP/IP» -> «Сетевые параметры».
Сменить стандартные (22 для ssh и 23 для telnet) порты доступа к устройству по протоколам ssh/telnet;
Стандартный порт для доступа к устройству через web (по протоколу http) можно изменить через CLI. Для этого необходимо подключиться к SMG через ssh/console и выполнить следующие команды:
SMG200>
SMG200> config
Entering configuration mode.
SMG200-[CONFIG]> network
Entering Network mode.
SMG200-[CONFIG]-NETWORK>
PORT Number in the range 1-65535
SMG200-[CONFIG]-NETWORK> set settings web (указать необходимый порт в диапазоне 1-65535)
Для доступа к web-интефейсу рекомендуется использовать протокол HTTPS. Настроить его работу можно в разделе «Безопасность» → «Настройка SSL/TLS». В настройках SSL/TLS «Протокол взаимодействия с web-конфигуратором» должен быть выбран режим «только HTTPS». Также возможно использование авторизации через PAM/RADIUS. Более подробную информацию по настройке можно найти в разделе 3.1.18.1 Настройка SSL/TLS.
Настройка производится в меню «Безопасность» → «Список разрешенных IP адресов».
Внести в белый список адреса, с которых разрешен доступ к устройству через web-конфигуратор и по протоколам telnet/ssh;
Включить опцию «Доступ только для разрешенных IP-адресов»;
Нажать кнопки «Применить» и «Подтвердить».
Более подробную информацию по настройке можно найти в разделе 3.1.18.5 Список разрешенных IP-адресов.
Статический брандмауэр служит для ограничения доступа к сетевым интерфейсам по списку заранее заданных правил.
Настройка производится в меню «Безопасность» → Статический брандмауэр».
Зайти в настройки брандмауэра;
Создать профиль брандмауэра, нажав кнопку «Добавить»;
Задать имя профиля, нажать «Далее»;
Задать правила фильтрации для входящего и исходящего трафика. При этом надо помнить, что если входящий или исходящий пакет не попал ни под одно правило фильтрации, то для него применяется действие «Accept» (разрешить прохождение пакета). Поэтому, если требуется разрешить доступ лишь некоторым узлам и запретить всем прочим, то необходимо конфигурировать профиль брандмауэра так, чтобы последним правилом было правило с типом источника и назначение «Любое» и действием «Reject» или «Drop» (отбросить пакет с уведомлением по ICMP или отбросить без уведомления);
В блоке «Интерфейс» выбрать сетевые интерфейсы, для которых будет применяться фильтрация;
Нажать кнопку «Сохранить», расположенную под списком интерфейсов;
Нажать кнопку «Применить», расположенную вверху страницы;
Нажать кнопку «Сохранить», расположенную над таблицами фильтров.
Более подробную информацию по настройке можно найти в разделе 3.1.18.4 Статический брандмауэр.
Динамический брандмауэр служит для ограничения доступа к сетевым интерфейсам на основе анализа запросов к различным сервисам. При обнаружении повторяющихся неудачных попыток обращения к сервису с одного и того же IP-адреса динамический брандмауэр производит его временную блокировку. Если адрес попадает во временную блокировку несколько раз, он блокируется постоянно в чёрном списке адресов.
Настройка производится в меню «Безопасность»→ «Динамический брандмауэр».
Зайти в настройки брандмауэра;
Внести в белый список адреса доверенных узлов и подсетей;
Поставить флажок «Включить»;
Нажать кнопку «Применить».
Более подробную информацию по настройке можно найти в разделе 3.1.18.2 Динамический брандмауэр.
Не рекомендуется для сигнализации SIP использовать стандартный порт 5060. Необходимо периодически проверять информацию в разделе «Безопасность» -> «Журнал заблокированных адресов». В нем отображается список заблокированных динамическим брандмауэром адресов, с которых была произведена неудачная попытка получения доступа к устройству.
Рекомендуется периодически менять пароли для доступа к устройству через web/ssh. Политика смены паролей должна определяться вашей службой безопасности.
Рекомендуется использовать актуальную версию ПО: https://eltex-co.ru/support/downloads/. |