钱柜777·(中国区)官方网站

021-61202700 021-52217917
服務與支持

Service and support

SX3000企業級SBC安全檢查

  1、確認Console接口配置了登錄密碼

  Console接口不設置登錄密碼,任何人都可以通過Console接口登錄設備,存在隱患

  配置說明:

  -進入Console視圖(每次進入提示輸入用戶名和密碼)

  -Console密碼與Telnet或SSH密碼相同

  -修改密碼可通過Web頁面或后臺修改

  Web修改方式:“高級>安全管理>Telnet/SSH服務密碼”

  后臺修改方式:輸入passwd,依次輸入新密碼和確認密碼即可生效

  -拔掉Console線之前必須先輸入exit命令進行注銷,防止后續Console的使用不經過密碼認證

  2、確認遠程登錄密碼已更改

  Web和后臺訪問的用戶名和密碼都盡量設置復雜一些,否則容易被竊取

  配置說明:

  -Web管理員和操作員密碼設置方式:“系統工具>修改密碼”--配置新的管理員密碼及操作員密碼

  -Telnet/SSH管理密碼設置方式:“高級>安全管理>Telnet/SSH服務密碼”

  3、確認Web訪問端口

  默認Web訪問端口為80,是已知的公開端口,存在隱患

  配置說明:

  Web端口修改方式:“高級>安全管理>Web服務”

  4、添加有限個白名單IP允許遠程管理

  當不得不需要Web或Telnet管理時,需要開啟白名單,允許白名單的終端可以訪問設備

  配置說明:

  -開啟Web管理白名單:“高級>安全管理>白名單”--勾選Web管理“開啟白名單”--點擊“添加”--輸入IP地址

  -Telnet開啟白名單方式相同

  5、攔截或允許指定IP或IP段對設備的訪問

  設備部署在公網容易受到網絡攻擊,啟用訪問控制規則,可攔截非法數據包,增加安全性

  配置說明:

  “高級>安全管理>訪問控制”--在文本框添加訪問規則,舉例如下:

  允許10.128.23.23這個終端SSH訪問

  /var/run/iptables-A INPUT-s 10.128.23.23-p tcp--dport 22-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 22-j DROP

  允許10.128.0.0這個網段可以訪問Web

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 80-j ACCEPT

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 443-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 80-j DROP

  /var/run/iptables-A INPUT-p tcp--dport 443-j DROP

  允許10.128.0.0這個網段可以Telnet訪問

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 23-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 23-j DROP

  拒絕220.248.118.88這個IP對5060SIP服務端口進行訪問

  /var/run/iptables-A INPUT-s 220.248.118.88-p udp--dport 5060-j DROP

  /var/run/iptables-A INPUT-p udp--dport 5060-j ACCEPT

  6、SIP服務端口配置為非5060端口

  5060端口為已知公開的SIP端口,作為服務端口很容易被攻擊

  配置說明:

  “服務端口”--配置對應網口的服務端口

  7、確認啟用TLS對信令及媒體流加密

  開啟TLS加密方式能有效保護信令和媒體流在網絡上的傳輸

  配置說明:

  終端設備都支持TLS加密方式的情況下建議SX3000啟用TLS,提高安全性

  “服務端口”--選擇需要加密的網口--選擇需要加密的端口,在加密方式下選擇TLS

  “高級>SSL證書管理”--進行證書相關配置,并上傳“SIP TLS加密證書”

  8、確認Web訪問基于https方式

  https方式可增加管理員在對Web頁面進行配置時,數據在網絡上傳輸的安全性

  配置說明:

  設備出廠已默認為https方式

  9、確認設備后臺只支持sftp上傳或下載

  sftp方式可增加管理員在后臺進行數據傳輸時的可靠性

  配置說明:

  設備出廠已默認為sftp方式

  10、確認TR069管理基于https方式

  https方式可增加數據在網絡傳輸的安全性

  配置說明:

  “高級>系統>TR069>服務器URL”--配置支持https交互的TR069服務器地址

  11、確認設備已關閉ping功能

  設備開啟ping功能,容易被網絡攻擊

  配置說明:

  設備出廠已關閉ping功能,設備能ping外部,但不能被外部ping

  12、關閉不使用的服務

  開放不需要的服務,容易被攻擊

  配置說明:

  當不需要進行后臺操作時,建議關閉Telnet或SSH服務。“高級>安全管理>Telnet服務/SSH服務”--關閉

以客戶為中心,聚焦客戶價值

立即咨詢