Email:ukanhao@qq.comTEL:13396055980

讯时SX3000企业级SBC安全检查

分类:通信百科 186 0

1、确认Console接口配置了登录密码

Console接口不设置登录密码,任何人都可以通过Console接口登录设备,存在隐患

配置说明:

- 进入Console视图(每次进入提示输入用户名和密码)

- Console密码与Telnet或SSH密码相同

- 修改密码可通过Web页面或后台修改

Web修改方式:“高级 > 安全管理 > Telnet/SSH 服务密码”

后台修改方式:输入passwd,依次输入新密码和确认密码即可生效

- 拔掉Console线之前必须先输入exit命令进行注销,防止后续Console的使用不经过密码认证

2、确认远程登录密码已更改

Web和后台访问的用户名和密码都尽量设置复杂一些,否则容易被窃取

配置说明:

- Web管理员和操作员密码设置方式:“系统工具 > 修改密码”--配置新的管理员密码及操作员密码

- Telnet/SSH管理密码设置方式:“高级 > 安全管理 > Telnet/SSH 服务密码”

3、确认Web访问端口

默认Web访问端口为80,是已知的公开端口,存在隐患

配置说明:

Web端口修改方式:“高级 > 安全管理 > Web服务”

4、添加有限个白名单IP允许远程管理

当不得不需要Web或Telnet管理时,需要开启白名单,允许白名单的终端可以访问设备

配置说明:

- 开启Web管理白名单:“高级 > 安全管理 > 白名单”--勾选Web管理“开启白名单”--点击“添加”--输入IP地址

- Telnet开启白名单方式相同

5、拦截或允许指定IP或IP段对设备的访问

设备部署在公网容易受到网络攻击,启用访问控制规则,可拦截非法数据包,增加安全性

配置说明:

“高级 > 安全管理 > 访问控制”--在文本框添加访问规则,举例如下:

允许10.128.23.23这个终端SSH访问

/var/run/iptables -A INPUT -s 10.128.23.23 -p tcp --dport 22 -j ACCEPT

/var/run/iptables -A INPUT -p tcp --dport 22 -j DROP

允许10.128.0.0这个网段可以访问Web

/var/run/iptables -A INPUT -s 10.128.0.0/16 -p tcp --dport 80 -j ACCEPT

/var/run/iptables -A INPUT -s 10.128.0.0/16 -p tcp --dport 443 -j ACCEPT

/var/run/iptables -A INPUT -p tcp --dport 80 -j DROP

/var/run/iptables -A INPUT -p tcp --dport 443 -j DROP

允许10.128.0.0这个网段可以Telnet访问

/var/run/iptables -A INPUT -s 10.128.0.0/16 -p tcp --dport 23 -j ACCEPT

/var/run/iptables -A INPUT -p tcp --dport 23 -j DROP

拒绝220.248.118.88这个IP对5060SIP服务端口进行访问

/var/run/iptables -A INPUT -s 220.248.118.88 -p udp --dport 5060 -j DROP

/var/run/iptables -A INPUT -p udp --dport 5060 -j ACCEPT

6、SIP服务端口配置为非5060端口

5060端口为已知公开的SIP端口,作为服务端口很容易被攻击

配置说明:

“服务端口”--配置对应网口的服务端口

7、确认启用TLS对信令及媒体流加密

开启TLS加密方式能有效保护信令和媒体流在网络上的传输

配置说明:

终端设备都支持TLS加密方式的情况下建议SX3000启用TLS,提高安全性

“服务端口”--选择需要加密的网口--选择需要加密的端口,在加密方式下选择TLS

“高级 > SSL证书管理”--进行证书相关配置,并上传“SIP TLS 加密证书”

8、确认Web访问基于https方式

https方式可增加管理员在对Web页面进行配置时,数据在网络上传输的安全性

配置说明:

设备出厂已默认为https方式

9、确认设备后台只支持sftp上传或下载

sftp方式可增加管理员在后台进行数据传输时的可靠性

配置说明:

设备出厂已默认为sftp方式

10、确认TR069管理基于https方式

https方式可增加数据在网络传输的安全性

配置说明:

“高级 > 系统 > TR069 > 服务器URL”--配置支持https交互的TR069服务器地址

11、确认设备已关闭ping功能

设备开启ping功能,容易被网络攻击

配置说明:

设备出厂已关闭ping功能,设备能ping外部,但不能被外部ping

12、关闭不使用的服务

开放不需要的服务,容易被攻击

配置说明:

当不需要进行后台操作时,建议关闭Telnet或SSH服务。“高级 > 安全管理 > Telnet服务/SSH服务”--关闭

标签: 上一篇: 下一篇:
展开更多
给我留言,着急的朋友请拨打13396055980
captcha