注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

telewit的博客

 
 
 

日志

 
 
关于我

北京智宇炜业通信技术有限公司 一、项目介绍 交换机产品:松下,阿尔卡特,西门子,三星,国威,威谱,申瓯等,所有产品 附带产品:电脑话务员,留言信箱,计费系统,录音系统,呼叫中心。

网易考拉推荐

阿尔卡特OmniPCX Enterprise应用酒店交换机安全性  

2012-03-18 08:34:40|  分类: 程控交换机 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
 
1. 概述

计算和电信环境中的一个主要变化是从专有的封闭式系统过渡到了开放的基于标准的结构,实现了全球互连和信息共享。这种开放结构的缺点是系统可能比较脆弱,容易受到欺骗使用或结构毁坏等方面的攻击。

为了解决这些问题,阿尔卡特为其网络产品开发了一种安全框架。这种名为“CrystalSec”的新型安全策略涉及到三个主要方面:

· 设备自身的安全性:初始开发和默认配置所带来的固有保护功能

· 给设备带来的安全性:对该设备特别是在管理上实施访问控制

· 通过设备实现的安全性:由于网络配置而产生的安全性,如VLAN管理、冗余等

当今企业对移动性和电信的需求促使远程访问电信功能,如DISA(直接内部系统访问)以及各种语音处理应用得到越来越多的使用。然而,这些功能也使企业的通信系统向外部世界开放。阿尔卡特OmniPCX Enterprise 提供了一系列的解决方案来保护该系统免遭长话欺骗。


2. 默认安全性

默认情况下的安全性包括:

· 不激活所有不必要的选项:只激活组件运行所需的配置选项

· 通过SSH保护交换机的安全

· 缩小动态端口范围

· 在初始登录后修改密码

· 执行密码老化功能


2.1. 阿尔卡特操作系统

OmniPCX Enterprise 采用由阿尔卡特强化的基于Linux的操作系统(Mandrake版本7.2) ,只保留必要的程序。与700Mb的公共版本相比,这个程序包的大小只有50Mb 。阿尔卡特删除了一些不必要的选件,将该操作系统进行了固化,如:

· 没有内置Web服务器 “Apache”。阿尔卡特选择了“thttpd”服务器,该服务器使用带有限制编码的静态网页

· 没有图形界面

· 没有远程文件共享,如NFS或Samba

作为免费操作系统,Linux操作系统具有以下几种优势:

· 为内核和实用工具提供完全开放的源

· 全球广泛的用户群,可以全面发现、认识潜在的安全问题

· 庞大而积极的开发者群,保证快速解决安全问题


2.2. 通过SSH保护交换机的安全 (安全SHELL)

在网络设备之间的交换机可以通过使用SSH进行加密。经由SSH的传输具有初始化加密优势。密码不能未经编码(以明文形式)就在网络上发送。

SSH (来自 OpenSSH V3.7.1P2) 在以下设备中实现:

· OmniPCX Enterprise:CPU5/CPU6/CPU7,Alizé,Appliance服务器

· A4760

· A4760i

· Wizard

在定义了OmniPCX Enterprise网络参数 之后,系统会询问是否需要激活SSH加密。如果不需要,则安装人员必须输入“No”。

当SSH安全性启动时,ABC网络中的OmniPCX Enterprise之间的交换机以及OmniPCX Enterprise与管理站之间的交换机被加密。这就意味着ABC网络上的所有节点都启动了SSH安全性。可以连接到Com服务器的管理站必须支持SSH安全交换机。

标准命令被安全命令所替换:

· ssh (安全壳程序) 替换telnet

· ssh (安全壳程序)替换 rsh (远程壳程序)

· scp (安全复制) 替换rcp (远程复制)

· sftp (安全文件传输协议) 替换ftp (文件传输协议)

注意:

A ) 只能使用加密形式。为了认证,应使用信任的主机机制。

B) 在使用SSH功能保护通信安全之前,ABC网络中的所有OmniPCX Enterprise 的版本必须是6.0或更高版本。

C) 在进行SSH功能验证测试时,使用PuTTY和PSFTP工具,带一个基于Windows的客户端;使用openSSH (包括sftp),带一个基于Linux/SUN/SOLARIS的客户端..


2.3. 动态UDP端口范围

动态UDP端口范围为所有允许内核自动选择端口的应用所使用。当呼叫服务器是客户端时,该范围包括TFTP和FTP。

出于安全原因,建议将动态端口范围缩小到实际所需的最低程度。

覆盖的默认动态端口范围为10000到10499。该默认范围可以进行修改以满足客户需求。为了确定配置的门限值,客户必须列出站点上使用一个(或多个)动态端口的所有应用的清单。在这些应用中,客户必须评估出有多少个应用可以同时使用,并计算出所使用动态端口的数量。


2.4. 系统帐户

OmniPCX Enterprise以前版本提供的一些不必要或冗余帐户已经被抑制。这就限制了黑客可能以未经授权的方式访问系统的后门数量。

只有10个必需的帐户被保留下来。对于一些不需要登录和FTP服务的帐户,这些服务则被去活。

这里有三种主要类型的帐户:

· “连接”帐户,为系统管理员在进行远程维护时所用。这些帐户允许打开会话。

· “工具”帐户,由阿尔卡特应用使用。由于相关应用会在登录时自动启用,因此这些帐户不允许启用会话。

· 其它帐户预留给操作系统,以“superuser” (根)的形式登录。

下表列出了这些帐户:


帐户

功能

登录

FTP

管理员帐户

Bin

几个二元组的所有人

Daemon

/var/spool/at的所有人

Ftp

异步ftp访问

Nobody

Tftp daemon所有人

Httpd

Http 所有人

Ppp

在V24上设置IP链路

Swinst

软件安装

Mtcl

客户维护

Adfexc

来自4760的记录下载


被称作客户端的一种补充帐户 (用于维护)不是默认安装的:可以通过使用swinst命令进行创建和删除。

(程控交换机解决方案、集团电话解决方案、电话交换机解决方案、数字交换机解决方案、阿尔卡特交换机酒店解案、松下交换机解决方案、NEC交换机、西门子交换机、五星级酒店解决方案 集团电话 电话交换机 程控交换机 阿尔卡特交换机 松下交换机 )
北京智宇炜业通信技术有限公司期待与您的合作!

公司电话:010-57271555

IE: www.telewit.cn



  评论这张
 
阅读(30)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017