Доп. меры безопасности SMG-1016M, SMG-2016, SMG-3016, SMG-200, SMG-500
Примите доп.меры по усилению безопасности:
Из-за геополитической напряженности повысилась вероятность атак на IP ATC. Рекомендуем проверить настройки безопасности.
Для этого воспользуйтесь инструкцией.
Обеспечение сетевой защиты SMG
Для того чтобы убедиться, что настройка SMG соответствует рекомендациям по безопасности, необходимо сделать следующее:
1. Проверить, что пароли для администратора для доступа через web-конфигуратор/ssh отличны от пароля по умолчанию
(по умолчанию пользователь - admin, пароль - rootpasswd).
Это именно те логины и пароли, которые используются для входа в систему:
Для изменения пароля и / или создания нового пользователя нужно перейти в основном меню «Пользователи: Управление»
В открывшемся окне изменить пароль для пользователя admin (для WEB). Также можно задать отдельный пароль для SSH
ВАЖНО: установленные пароли необходимо запомнить!
2. В настройках сетевых интерфейсов проверить, что для доступа к устройству используется выделенный сетевой интерфейс (только для управления), через него может быть разрешен доступ только к web-интерфейсу и ssh.
Правилом хорошего тона является разделение интерфейсов для управления и интерфейсов для телефонии. Однако, мы понимаем, что такое не всегда возможно, но поэтому рекомендуем отключить от интерфейса только те сервисы которые через этот интерфейс не используются, например, telnet, SNMP (если не используется для мониторинга и управления), а также Radius (если не используется для мониторинга и управления).
Для настройки ограничений переходим в меню: Настройки TCP/IP -> Сетевые интерфейсы, выбираем необходимые нам интерфейс и устанавливаем для него ограничения:
Внимание!
1. Если необходимо регистрировать внешних абонентов, и сети Интернет, то для этой цели необходимо использовать SBC – пограничный контроллер сессий, который оградит Вашу локальную сеть от внешней сети интернет и защитит Вашу АТС от взлома.
2. Доступ к устройству по протоколу telnet должен быть запрещен через публичный IP-адрес!
Пояснение: адрес публичной сети – это IP-адрес SMG в сети Интернет, если АТС используется без SBC, а регистрировать внешних абонентов всё равно необходимо! Управление должно быть разрешено НЕ через публичные адреса. Если все-таки используется управление через публичный IP, то необходимо обязательно использовать список разрешенных IP-адресов - нужно внести в белый список адрес, с которого будет разрешено подключение. Для всех остальных доступ должен быть запрещен.
Если АТС не использует публичных адресов и используется только в локальной сети или совместно с SBC, то отключение Telnet рекомендуется, но не обязательно!
3. Если имеется внешний SIP-транк до провайдера, который подключен к Вашей АТС через отдельный VLAN, тогда для этого интерфейса оставить только сервисы SIP и RTP, то есть только сервисы, которые необходимы для работы телефонии.
3. В разделе «Сетевые параметры» проверить, что порт для доступа по ssh/telnet отличен от стандартных 22 и 23. Стандартный порт для доступа через web можно изменить через CLI.
Для обеспечения большей безопасности, особенно если Ваша АТС подключена к глобальной сети Интернет, кроме запретов, указанных Выше, и в особенности в случаях когда управление через публичный необходимо, рекомендовано изменить порт для подключения по SSH и иногда и WEB.
Для изменения порта SSH необходимо в WEB-интерфейсе перейти в меню: Настройки TCP/IP -> Сетевые параметры, где и изменить стандартные порты SSH (22 порт) и telnet (23 порт) на любые другие. Пример показан ниже:
В этом же разделе задается основной интерфейс для устройства, а также адреса DNS-серверов.
Для изменения порта WEB со стандартного 80-го на произвольный, например, 8088, необходимо в консольном режиме выполнить следующие команды:
SMG2016 > config
SMG2016-[CONFIG]> network
SMG2016-[CONFIG]-NETWORK>
SMG2016-[CONFIG]-NETWORK> set settings web «PORT»
Где «PORT» - значение от в диапазоне 1-65535, например, 8088:
SMG2016-[CONFIG]-NETWORK> set settings web 8088
Необходимо понимать, что после изменения порта в адресной строке браузера, не просто вводит IP-адрес устройства, но через двоеточие указывать установленный порт для WEB, например: 192.168.0.2:8088
4. Для доступа к web-интерфейсу необходимо использовать протокол HTTPS.
Необходимо понимать, что весь обмен данными по WEB по протоколу HTTP является незащищенным, а значит ключи, логины и пароли передаются в открытом виде. Для исключения этого необходимо использовать протокол HTTPS, которые передает данные в шифрованном виде, и их значительно сложнее использовать для перехвата учетных записей.
Настроить его работу можно в разделе «Безопасность» => «Настройка SSL/TLS».
Протокол взаимодействия с web-конфигуратором:
- режим подключения к web-конфигуратору: HTTP или HTTPS – разрешено как нешифрованное подключение – по HTTP, так и шифрованное – по HTTPS.
- только HTTPS – разрешено только шифрованное подключение по HTTPS.
Подключение по HTTPS возможно только при наличии сгенерированного сертификата, которые можно сгенерировать непосредственно на самом устройстве.
Сгенерировать новые сертификаты можно заполнив форму, при этом параметры необходимо вводить латинскими буквами или цифрами:
После генерации сертификата, требуется перезапустить Web-сервер SMG:
ВАЖНО:
- Время жизни сгенерированного сертификата безопасности ограничено, поэтому важно чтобы во время генерации ключа безопасности время на SMG было актуальным.
- Не спешите переводить протокол взаимодействия с web-конфигуратором в режим «только HTTPS». Убедитесь, что сгенерированный Вами сертификат нормально воспринимается Вашим браузером. Очень часто современные браузеры не воспринимают самовыпущенные сертификаты.
После выполнения данного пункта, изменения порта для WEB, внесенные в.п.3 значения не имеют значения, т.е. заходить на Web нужно: https://192.168.0.2
5. В настройках «Безопасность» => «Список разрешенных IP-адресов» проверить, что белый список включен и в список разрешенных IP-адресов включены только те адреса, с которых разрешен доступ к устройству. Лишних адресов быть не должно!
Список разрешенных IP-адресов – в данном разделе конфигурируется список разрешенных IP-адресов, с которых администратор может подключаться к устройству через web-конфигуратор, а также по протоколу Telnet и SSH. По умолчанию разрешены все адреса.
Доступ только для разрешенных IP адресов – при установке флага применяется список разрешенных IP-адресов, иначе доступ разрешен с любого адреса.
Существует возможность разрешать доступ для подсетей, для этого необходимо задать адрес в формате IP/mask, например: 192.168.0.0/24.
6. Убедиться, что динамический брандмауэр включен.
(«Безопасность» => «Динамический брандмауэр»), в белый список внесены адреса, блокировка которых запрещена. В черный список внесены адреса, доступ с которых всегда заблокирован.
Если установлена галочка напротив поля «включить», то динамический брандмауэр включен
Белый список (отображаются последние 30 записей) – список IP-адресов или подсетей, которые не могут быть блокированы динамическим брандмауэром.
Добавьте сюда IP-адреса или адреса подсетей, которые НЕ ДОЛЖНЫ быть заблокированы динамическим брандмауэром.
Черный список (отображаются последние 30 записей) – список запрещенных адресов или подсетей, доступ с которых будет всегда заблокирован.
Внесите сюда IP-адреса или адреса подсетей, которые ДОЛЖНЫ быть заблокированы динамическим брандмауэром. Данный список заполняется автоматически по мере работы Вашей АТС.
Список заблокированных адресов (отображаются последние 30 записей) – перечень адресов, заблокированных в ходе работы динамического брандмауэра. Данный список заполняется автоматически по мере работы Вашей АТС.
7. Проверить настройки статического брандмауэра
(«Безопасность» => «Статический брандмауэр»), должен быть разрешен доступ только для тех адресов/портов, которые используются для сигнального (sip/h323-транки) и медиатрафика.
Для всех остальных доступ должен быть запрещен. Здесь же необходимо убедиться, что правила статического брандмауэра привязаны к сетевому интерфейсу, для которого они должны отрабатывать (сетевой интерфейс должен быть выбран в настройках профиля).
Также в статическом брандмауэре должен быть настроен GeoIP для запрета прохождения трафика с определенных географических локаций.
Статический брандмауэр (Firewall) или сетевой экран — комплекс программных средств, осуществляющий контроль и фильтрацию передаваемых через него сетевых пакетов в соответствии с заданными правилами, что необходимо для защиты устройства от несанкционированного доступа.
ВАЖНО: Правила брандмауэра не будут работать на ограничение доступа по протоколам HTTP/HTTPS, SSH, Telnet, SNMP, FTP. Для ограничения доступа по этим протоколам воспользуйтесь списком разрешённых IP адресов и настройками активации сервисов на сетевых интерфейсах.
Для создания, редактирования и удаления профилей firewall используются кнопки:
Безопасность → Статический брандмауэр
Для добавления нового правила необходимо нажать кнопку «Добавить», а затем изменить имя правила и нажать кнопу «Далее»
Программное обеспечение позволяет настроить правила firewall для входящего, исходящего и транзитного трафика, а также для определенных сетевых интерфейсов.
Безопасность → Статический брандмауэр → Объект
При создании правила настраиваются следующие параметры:
- Имя - имя правила;
- Использовать - определяет, будет ли использоваться правило. Если флаг не установлен, то правило будет неактивно;
- Тип трафика - тип трафика, для которого создается правило:
- входящий - предназначенный для SMG;
- исходящий - отправляемый SMG.
- Тип правила - может принимать значения:
- Обычное - правило с проверкой IP-адресов и портов;
- GeoIP - правило с проверкой адреса по базе GeoIP;
- String - правило с проверкой вхождения строки в пакет.
Например, Вы хотите принимать траффик только из вашей локальной подсети.
Тогда для начала надо создать разрешающее правило, а затем запрещающее. Общее запрещающее правило всегда должно быть в конце правил firewall.
Источник пакета – определяет сетевой адрес источника пакетов либо для всех адресов, либо для конкретного IP-адреса или сети:
- любой – для всех адресов (флаг установлен);
- IP адрес/маска – для конкретного IP-адреса или сети. Поле активно при снятом флаге «любой». Для сети обязательно указывается маска, для IP-адреса указание маски не обязательно;
- Порты источника – ТСР/UDP порт или диапазон портов источника пакетов. Данный параметр используется только для протоколов TCP и UDP, поэтому, чтобы данное поле стало активным, необходимо выбрать в поле протокол UDP, TCP, либо TCP/UDP.
Адрес назначения – определяет сетевой адрес приемника пакетов либо для всех адресов, либо для конкретного IP-адреса или сети:
- любой – для всех адресов (флаг установлен);
- IP адрес/маска – для конкретного IP-адреса или сети. Поле активно при снятом флаге «любой». Для сети обязательно указывается маска, для IP-адреса указание маски не обязательно;
- Порты назначения – ТСР/UDP порт или диапазон портов приемника пакетов. Данный параметр используется только для протоколов TCP и UDP, поэтому, чтобы данное поле стало активным, необходимо выбрать в поле протокол UDP, TCP, либо TCP/UDP.
Протокол – протокол, для которого будет использоваться правило: любой, UDP, TCP, ICMP, либо TCP/UDP;
Тип сообщения (ICMP) – тип сообщения протокола ICMP, для которого используется правило. Данное поле активно, если в поле «Протокол» выбран ICMP;
Действие – действие, выполняемое данным правилом:
- ACCEPT – пакеты, попадающие под данное правило, будут пропущены сетевым экраном firewall;
- DROP – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall без какого-либо информирования стороны, передавшей пакет;
- REJECT – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall. Стороне, передавшей пакет, будет отправлен либо пакет TCP RST, либо ICMP destination unreachable.
Страна – выбор страны, к которой принадлежит адрес. Поле отображается только для правила типа «GeoIP»;
ВАЖНО: Правило маршрутизации по GeoIP возможно использовать, если
IP-адресация сети (например, сети Интернет) учитывает правила адресации IANA. Если данное правило в сети, где используется SMG нарушено, использование правила GeoIP НЕЦЕЛЕСООБРАЗНО!
ВАЖНО:
Более подробную информацию о настройке статического брандмауэра можно найти в документации на устройство в разделе «Статический брандмауэр» (со стр. 312).
ВАЖНОЕ ПРИМЕЧАНИЕ ПО РАБОТЕ БРАНДМАУЭРА
На SMG работает следующий порядок отработки правил динамического и статического брандмауэра, списка запрещенных адресов и ограничения доступа с сетевых интерфейсов:
1. Производится отработка правил динамического брандмауэра раздел 3.1.16.2 (Руководства). На этом этапе происходит сброс запросов от адресов, находящихся в черном списке и списке временных блокировок.
2. Отрабатываются ограничения доступа, настраиваемые в разделах 3.1.13.3 (Руководства) Сетевые интерфейсы -> Сервисы и 3.1.16.5 (Руководства) Список разрешенных IP-адресов. При неактивном списке разрешённых IP-адресов формируются правила, разрешающие доступ к управлению на адреса сетевых интерфейсов SMG, у которых есть разрешение на доступ в блоке "Сервисы". При активном списке разрешённых IP-адресов правила дополняются контролем IP-адреса источника – разрешено подключение только с адресов, указанных в списке.
3. Разрешается прочий доступ к сетевым интерфейсам, на которые нет привязки правил статического брэндмауэра.
4. Отрабатываются правила статического брандмауэра раздел 3.1.16.4 (Руководства) на тех сетевых интерфейсах, к которым правила привязаны.
Если отработало одно из правил из списка, то оставшиеся правила к запросу применяться не будут.
8. Проверить, что для сигнализации SIP не используется порт по умолчанию 5060 (раздел «Маршрутизация» => «Интерфейсы SIP» => зайти в настройки конкретного сетевого интерфейса, проверить настройку «Порт для приема SIP-сигнализации»).
При использовании SIP-профиля, для подключения абонентов или транков из глобальной сети Интернет, использование нестандартного (отличного от 5060) порта незначительно, но всё же повышает безопасность Вашей АТС.
Однако, использование порта 5060 для подключения ТОЛЬКО ваших локальных абонентов, ни каким образом не скажется на безопасности АТС.
ВАЖНО. При изменении данного порта в настройках SIP-профиля с 5060 на нестандартный (например, 5789) потребует перенастройки всех SIP-абонентов, а изменение в настройках SIP-транка с 5060 на нестандартный (например, 5860) потребует внесение изменений и на встречной стороне, если Ваш транк работает без регистрации!
9. Периодически необходимо проверять информацию в разделе «Безопасность» => «Журнал заблокированных адресов». В нем отображается список заблокированных динамическим брандмауэром адресов, с которых была произведена неудачная попытка получения доступа к устройству.
В данном разделе отображается журнал заблокированных динамическим брандмауэром адресов, который позволяет проанализировать, когда и какие адреса попадали в блокировку за все время с момента включения шлюза.
Безопасность → Журнал заблокированных адресов
- Поиск – ввод адреса, для поиска в таблице заблокированный адресов;
- IP-адрес – IP-адрес, который попадал в блокировку;
- Дата блокировки – дата и время попадания IP-адреса в блокировку;
- Причина блокировки - пояснение, каким сервисом и за что произведена блокировка;
- Обновить – обновить журнал заблокированных адресов;
- Очистить журнал – удалить все записи из журнала заблокированных адресов.
Другим способом мониторинга попыток взлома является журнал аварийных событий.
В разделе активные / все события также можно увидеть попытки неудачной авторизации и т.п.
10. Периодически необходимо менять пароли для доступа к устройству через web/ssh. Политика смены паролей должна определяться вашей службой безопасности.
Периодическая и регулярная смена паролей к устройству убережет Ваше устройство от попыток взлома недобросовестными сотрудниками, уволенными с Вашей организации, а также уменьшит статистику, при попытке расшифровке паролей с помощью подбора к перехваченному шифрованному траффику.
Если остались вопросы, не раскрытые в данной рекомендации, прошу ознакомится с руководством по эксплуатации АТС тут. А также руководством по настройке офисных АТС тут.
Также вы можете обратиться в нашу техподдержку: