注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

telewit的博客

 
 
 

日志

 
 
关于我

北京智宇炜业通信技术有限公司 一、项目介绍 交换机产品:松下,阿尔卡特,西门子,三星,国威,威谱,申瓯等,所有产品 附带产品:电脑话务员,留言信箱,计费系统,录音系统,呼叫中心。

网易考拉推荐

阿尔卡特OmniPCX Enterprise应用酒店交换机应用  

2012-04-02 13:41:52|  分类: 程控交换机 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
  
              对阿尔卡特OmniPCX Enterprise 进行控制访问

最重要的安全考虑因素之一是对系统管理的保护性访问。

OmniPCX Enterprise 包含三种不同类型的解决方案:

·           物理设备访问控制

·           用户访问控制

·           入侵管理
1.1.                 物理设备访问控制: IP访问保护(互联网或内联网)

OmniPCX Enterprise 支持被称为可信任主机/TCP wrapper的过滤引擎,这种引擎能够控制IP终端和服务,该终端和服务可以访问支持企业通信服务器(Enterprise Communication Server)的中央处理器。

·           可信任主机只允许从Com 服务器到局域网的路由,这些路由指向IP语音通信解决方案中的组件(IP电话、IP媒介网关、管理站点、冗余CPU)。

·           TCP wrapper只为每个远程可信任IP地址提供系统上必要的服务支持。例如,tftp可用于IP电话而FTP则被拒绝。

在定义了OmniPCX Enterprise网络参数之后,系统询问安装者是否实施可信任主机过滤。

 如果不需要,安装者必须输入“No”。在这种情况下,在连接的工作站IP地址上就不执行控制措施。

 阿尔卡特强烈推荐使用防止Com服务器免遭来自客户局域网威胁的可信任主机/TCP wrapper。为了防止Com服务器对局域网的访问,建议使用防火墙(独立于Com服务器)。


1.1.1                    可信任主机

该功能可以控制需要系统连接的工作站IP地址。这项控制在网络层上完成(参见OSI模式)。


1.1.2             TCP wrapper

该功能可以控制在IP工作站和系统之间授权的TCP服务。该项控制由OmniPCX Enterprise 实施,以便在系统和连接到OSI模式第五层IP网络的IP站点之间实施连接。

每种类型的可信任主机(路由器、CPU、管理站点IP电话)只能实施一部分服务。下表对此进行总结。


配置文件

授权的服务

路由器

无授权的服务

CPU或A4645

SHELL (rcp,rsh),RLIS, SAVEREST,BUILDDISTANT, LOADDISTANT,FTP, TELNET,TFTP

47xx (管理设备)

NETACCESS,SAVEREST,FTP,TELNET

IP设备(IP电话、INTIPA/INTIPB、GD)

TFTP

PC 安装器

FTP,TELNET


1.1.3                    可信任主机/TCP wrapper配置

安装了TCP wrapper之后,必须配置以下内容:

·           由语音通信解决方案的组件所使用的IP地址或IP地址范围定义

·           对于每个IP地址或IP地址范围,必须关联一个定义了允许的服务列表的配置文件(参见3.1.2)


1.2.                 用户访问控制
1.2.1                    经由受保护串行或专用链路的内部访问

这里有几种以内部形式访问OmniPCX Enterprise数据的方式:

·           经由专用串行链路从话务员控制台访问。

·           经由电话链路从电话上访问(话务员或其它)

·           经由串行链路从VT100终端上访问

·           经由串行或IP链路从OmniVista 4760管理平台访问

·           从A4760i访问

·           从Wizard访问

 有以下访问保护措施可供使用:

·           密码能够保护话务员控制台对配置应用的访问。

·           PIN代码能够保护电话对电话配置参数的访问。

·           操作系统密码能够保护VT100终端对维护服务和配置应用的访问。(参见2.5节)。

·           访问协议和密码用来保护4760 OmniVista 平台的访问。(参见 3.2.2节)。

1.2.2                    保护管理平台的访问协议的安全

为了提高安全性,阿尔卡特OmniPCX Enterprise 对阿尔卡特OmniVista 4760平台和用户的身份加以控制。OmniVista平台验证两项内容:名字和密码、另一个名字和密码。每个授权OmniVista平台和每个授权用户都要在OmniVista平台和OmniPCX Enterprise 中定义两次。OmniPCX Enterprise 只识别用户名,用户密码仅限于管理平台内部。

访问控制只在连接阶段执行。当OmniVista设置一项连接时,OmniPCX Enterprise 将在授权连接之前检查三种参数(平台名称、平台密码和用户名)的一致性。

 注意:   在OmniVista 应用中可使用其它访问控制机制。这些机制包括为每项OmniVista 应用定义访问权利的操作系统登录/密码和用户配置文件。

1.2.3                    保护经由公共电话网络的远程访问的安全

阿尔卡特OmniPCX Enterprise 提供了三种安全解决方案,以保护经由PSTN的远程管理访问的安全。

·           在PSTN环境中,RMA (远程维护访问)设备(参见章节介绍和结构)保证了位于远端站点的维护和/或管理终端的访问控制。

·           在ISDN环境中,OmniPCX Enterprise 能够按照公共交换机发送的主叫线路标识来识别并认证远程终端。

·           在PSTN和ISDN环境中,OmniPCX Enterprise 使用以上描述的协议来识别并认证远程 OmniVista 4760平台及其相连的用户。

1.2.3.1      PSTN

在PSTN环境中,RMA解决方案为位于预先确定地点的远程管理终端提供高水平的安全性。  RMA设备使用登录/密码以及随后的回叫来对远程管理员的身份进行确认。当远程工作人员登录到RMA上时,还需要第二次登录/密码。这样,双重登录密码保证了安全性。

远程工作人员回叫也可实行。

RMA解决方案可作为:

·           内置于通信服务器中的eRMA软件

·           RMA硬件,在通信服务器前端有特定的卡板。

eRMA适用于远程配置操作而不适用于远程维护操作。在出现通信故障的情况下无法使用eRMA软件。RMA硬件必须用在远程维护上。

1.2.3.2      ISDN

如果以这种方式配置,则远程工作人员可以经由ISDN连接直接到达Com服务器。这种类型的访问主要适用于远程维护操作。

阿尔卡特OmniPCX Enterprise 通过公共交换网络发送的CLIP(主叫线路标识显示)来控制线路。远程工作人员在请求连接时发送主叫线路标识。如果主叫线路标识与在OmniPCX Enterprise 中配置的标识相一致,则呼叫将被接受。如果主叫线路标识不可知,则呼叫被拒绝且OmniPCX Enterprise 将产生一次警报。

1.3.                 在系统上记录相关事件

收集并分析与有关事件相联系的信息(如不成功的登录尝试)是十分重要的。这是日志文件的工作。

1.3.1                    呼叫处理级的日志

在通信服务器中存在几种不同类型的日志文件:

·           对于所有管理操作来说:

§   配置后的电话事件(日期/时间、启动器和操作类型)保存在日志文件中(包含最近发生的1000个事件)。

§   记录五天内影响IP网络接口的配置事件。

·           对于呼叫成本:在每次电话呼叫结束时,将产生呼叫细节记录(票)并按小时(高达31天的记录)保存在文件中。这些记帐记录可以使用成本管理软件进行分析,或者当成本达到门限值(阿尔卡特OmniVista 4760)时将会产生警报。

·           对于通信服务器应用,如呼叫处理和内部记帐来说,则记录事件(如安装版本、呼叫处理运行、电话设备上服务丢失等)。

实时通知可以作为过滤器使用。通知可以:

·           发送到本地控制台或打印机上(以文本文件格式)

·           通过IP网络应用发送到管理工具,以进行分析和拓扑动画效果,例如经由CMIP发送到阿尔卡特OmniVista 4760 或经由SNMP陷阱发送到HPOV平台上。

·           在有或无RMA的情况下,通过PSTN经由拨号连接发送到远程维护中心(控制台或打印机)。

1.3.2                    在OS层次上的SYSLOG

OmniPCX Enterprise 上的SYSLOG 记录访问系统的尝试(以及所有在系统上运行的守护程序),

这样就可以检测对设备的非法访问,从而在黑客获得系统访问途径之前就采取必要的防范措施。

局限性:没有“syslog checker”,因此在出现非法访问的情况下不会产生警报。SYSLOG文件必须通过Linux定期查询。

1.3.3                    网络时间协议 (NTP)

NTP允许在一套设备统一地设置时间。这就使得发生在不同系统上的事件之间具有相关性。NTP版本4允许OmniPCX Enterprise 时钟与准确的、经过认证的时钟服务器进行同步。

从安全性角度来说,只有时间受到保护,才能对“记录”文件进行准确的分析。

(程控交换机解决方案、集团电话解决方案、电话交换机解决方案、数字交换机解决方案、阿尔卡特交换机酒店解案、松下交换机解决方案、NEC交换机、西门子交换机、五星级酒店解决方案 程控交换机 阿尔卡特交换机 松下交换机 )

北京智宇炜业通信技术有限公司期待与您的

IE: www.telewit.cn


 

  评论这张
 
阅读(26)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017