手册下载
3Com VCX 9.8 系统安全管理手册-6W101-整本手册.pdf (264.11 KB)
VCX系统安全管理手册
VCX V7000 IP电话系统解决方案
系统发行版本9.8
6W101-20110119
2011年1月出版
3Com公司 350 Campus Drive Marlborough, MA 01752-3064 |
版权所有 2010-2011, 3Com公司。 保留所有权利。 未经 3Com 公司书面许可,不得以任何形式或通过任何手段复制本文档的任何内容,或者用其制作任何派生作品(如翻译、更改或改编)。 3Com 公司保留随时修订本文档和更改内容的权利;如有修订或更改,恕不另行通知。 3Com 公司对本文档不提供任何明示或暗示担保、条件或条款,包括但不限于有关某一特殊目的的适销性、质量满意度和适用性的暗示担保、条款或条件。 3Com 可以随时改进或更改本文档中描述的产品和/或程序。 本文档提及的任何软件或可移动介质均遵守本产品附带的许可协议规定,此类许可协议是单独的纸件文档,或者是可移动介质上某个目录中名为 LICENSE.TXT 或 !LICENSE.TXT 的文件。如果您无法找到这个副本,请联系 3Com,我们将为您提供一份副本。 美国政府规定: 如果您是根据美国政府法规成立的机构,那么在使用本文档提及的相关文档和软件时应遵守以下规定: 美国政府规定: 所有技术数据和计算机软件均用于商业用途,开发费用自理。 所提供的软件符合 DFARS 252.227-7014(1995 年 6 月)中定义的“商用计算机软件”的要求,或 FAR 2.101(a) 中定义的“商品”的要求,并且仅享有 3Com 标准商用软件许可证中提供的权利 使用提供的技术数据时受 DFAR 252.227-7015(1995 年 11 月)或 FAR 52.227-14(1987 年 6 月)的条款限制(如适用)。 您同意,不会删除或损坏任何许可程序或文档中的图例或随本手册提供的图例的任何部分。 除非另有说明,3Com 是在美国注册的商标,在其他国家/地区可能已注册,也可能未注册。 3Com 和 3Com 徽标是 3Com 公司的注册商标。 VCX 是 3Com 公司的商标。 其他品牌和产品名称可能是其各自所有者的注册商标或商标。 |
目 录
本手册讲述与提高VCX V7000 IP电话系统的安全性相关的几个问题。
本手册适用于对电信、VoIP技术、Linux操作系统、Oracle数据库、网络和系统管理员权限非常了解的设备安装人员和系统管理员。
|
如果产品随附的版本说明中的信息与本手册中的信息有所差异,请遵循版本说明中的指示。 |
H3C互联网站点上以Adobe Acrobat Reader可移植文档格式(PDF)或HTML格式提供大多数用户手册和版本说明:
http://www.h3c.com.cn/
表1列出了本手册使用的注意事项图标约定。
图标 |
通知类型 |
说明 |
|
说明 |
说明重要功能或指示的信息 |
|
注意 |
该信息提醒您潜在数据损失,或应用程序、系统或设备的潜在损害。 |
|
警告 |
该信息提醒您潜在的人身伤害 |
表2列出了本手册中使用的文本约定。
约定 |
说明 |
屏幕显示 |
该字体表示此处的信息与它在屏幕上的显示相同 |
语法 |
“语法”一词表示,必须遵循所提供语法,然后为尖括号中的占位符提供适当的值。例如: 要查看网络接口的信息,请使用以下语法: ifconfig <interface> 必须指定网络接口名称<interface>,如eth0或eth1 |
命令 |
“命令”一词表示,必须输入与所示内容完全一样的命令,然后按Return键或Enter键。命令使用粗体。例如,要配置接口eth0的IP地址为192.168.1.116,子网掩码为255.255.0.0,请使用以下命令: ifconfig eth0 192.168.1.116 netmask 255.255.0.0 |
“输入”和“键入” |
在本手册中,当您看到“输入”一词时,必须键入内容,然后按Return或Enter。如果看到“键入”这个词,请勿按Return或Enter。 |
键盘按键名称 |
如果您必须同时按下两个或更多按键,这些按键的名称必须用加号(+)连接起来。例如:按下Ctrl + Alt + Del |
斜体文字 |
斜体用于: l 强调重点 l 在文中定义新术语的地方,用斜体表示新术语 l 标识菜单名、菜单命令和软件按钮名称,例如: 从帮助菜单中选择目录 单击确定 |
本手册提供包含示例数据的插图和屏幕截图。示例数据可能会因所安装系统上的数据而异。
这些3Com文档包含有关本版VCX V7000 IP电话系统解决方案产品的其他信息。以下文档属于VCX IP电话系统解决方案的一部分:
l 《VCX系统安装手册》
l 《VCX系统维护手册》
l 《VCX系统配置手册》
l 《VCX管理型电话机指南》
l 《VCX商务电话机指南》
l 《VCX普通电话机指南》
l 《VCX系统安全管理手册》
您的建议对我们非常重要,这有助于我们改进文档,以方便您使用。
请将您对本手册或任何3Com语音产品文档与帮助系统的意见发送到以下电子邮箱地址:
info@h3c.com
请在您的意见中包括以下信息:
l 文档标题
l 文档编号(位于封面)
l 页码
l 您的姓名和单位(可选)
例如:
VCX系统安全管理手册
5W100-20101207
第25页
|
请将您对3Com软件的任何疑问告诉您的3Com授权代表 |
用户支持邮箱:service@h3c.com
技术支持热线电话:800-810-0504(固话拨打)
网址:http://www.h3c.com.cn
VCX V7000 IP电话系统能以多种方式进行配置以增强系统安全。
3Com建议将要配置VCX系统的任何人都应阅读有关这些项目的最新更新信息:
l 有关安全咨询的信息,请访问CERT/CC(Computer Emergency Response Team/Coordination Center) 网站:www.cert.org
l 有关“20大”安全风险的说明,请访问SANS(SysAdmin、Audit、Network、Security)网站:http://www.sans.org/top20/
l 有关注意事项,请访问CVE(Common Vulnerabilities and Exposures)网站:http://www.cve.mitre.org/
本章包含有关以下主题的安全相关信息:
l 命令
l 防火墙配置
l IP消息系统端口
l 密码
l SIP邀请消息
l SNMP
l 语音邮件访问
为了增强VCX系统的安全,以下命令已禁用:
l ftp
l telnet
l tftp
l finger
l ident
l rlogin
l rsh
l rcp
要远程访问VCX系统,必须使用以下任一安全命令:
l ssh
|
VCX系统支持SSH协议版本2 (V2)。 需要SSH V2客户端。3Com认为SSH V1协议的安全性不够高。 |
l sftp
使用ssh或sftp命令初次访问VCX系统时,您可能会看到一则警示消息,询问您是否确认接受与VCX系统的连接。如果您回答yes,则连接成功。
如果由于某种原因完全重新安装VCX系统,在下一次使用ssh或sftp命令尝试访问VCX系统时,您可能会看到一则警示消息表明在进程中可能会有“man in the middle”安全漏洞。此消息是由于在VCX软件安装过程中所生成的新确认码造成的。如果您是从一个版本的VCX升级到另一版本,则不会生成新确认码。
要与VCX系统建立连接:
1) 删除警示消息中名为known_hosts的文件。
2) 重试ssh或sftp命令。
3Com建议您:
l 将VCX系统配置在企业防火墙之后,使其与互联网隔离开来。
l 通过在单独的子网上配置VCX系统或将其置于内部防火墙之后,使VCX系统与公司内的计算机隔离开来。
l 始终在每台VCX服务器上启用集成的防火墙。
此网络图解说明隔离VCX系统的一种方法。
使用本节中的信息配置内部防火墙。VCX系统允许远程网络访问这些TCP端口:
端口号 |
端口类型 |
需要该端口的服务 |
22 |
TCP |
SSH |
53 |
UDP |
DNS |
80 |
TCP |
HTTP |
123 |
UDP |
NTP |
161 |
UDP |
SNMP |
443 |
TCP |
HTTPS |
2093 |
UDP |
SIP downloader |
5060 |
UDP |
SIP |
5062 |
UDP |
SIP |
5063 |
UDP |
SIP |
5065 |
UDP |
SIP |
注:端口5065仅适用于具有以下特点的分支机构办公室服务器及Connect服务器: 仅使用eth0网络界面 运行IP电话系统和IP消息系统软件配置 |
||
5092 |
UDP |
SIP |
后端服务器(计费服务器、认证和目录服务器)使用这些端口是为了给远程客户端提供冗余服务。通常情况下,这些端口可被内部防火墙阻止。但是,如果冗余服务被隔离在内部防火墙的任何一侧,则必须将防火墙配置成不阻止这些端口。
端口号 |
端口类型 |
需要该端口的服务 |
1521 |
TCP |
Oracle监听服务 |
1645 |
UDP |
3Com认证服务器(RADIUS) |
1646 |
UDP |
3Com认证服务器(RADIUS) |
1781 |
控制 |
3Com计费服务器(3Q) |
1784 |
控制 |
3Com计费服务器(3Q) |
1786 |
数据 |
3Com计费服务器(3Q) |
1789 |
数据 |
3Com计费服务器(3Q) |
38000 |
UDP |
全局目录服务器(用于多个区域之间以及区域与分支机构之间) |
要计算用于VCX统一消息系统组件的最高RTP端口号,请使用以下公式:
最高端口号 =(端口号)* 2 +(RTP起始端口 -1)
公式元素 |
说明 |
端口号 |
默认的IP消息系统端口是120。在IP消息系统软件安装期间,可以更改此端口值。如果您更改了此端口值,则可使用自选的端口号。 添加系统上V7111和V7122网关的端口号。请参阅本节后面的“模拟和数字网关端口”。 |
RTP起始端口 |
默认值 = 8000。如果已修改了默认的起始端口号,则可使用自选的端口号。 |
IP 留言系统使用UDPTL协议和UDP端口传输和接收传真消息。在RTP端口范围之后,会立即启用UDP端口号。
要计算UDP范围内的起始端口号,请使用以下公式:
UDP 起始端口 =(端口号)* 2 +(RTP 起始端口)
公式元素 |
说明 |
端口号 |
默认的IP消息系统端口是120。在IP消息系统软件安装期间,可以更改此端口值。如果您更改了此端口值,则可使用自选的端口号。 添加系统上V7111和V7122网关的端口号。请参阅本节后面的模拟和数字网关端口。 |
RTP起始端口 |
请参阅本文档前面的RTP端口范围计算。 |
要计算UDP范围内的结束端口号,请使用以下公式:
UDP结束端口号=(UDP起始端口)+(端口号 -1)
公式元素 |
说明 |
UDP起始端口 |
请参阅本节前面UDP起始端口号中的“计算”部分。 |
端口号 |
默认的IP消息系统端口是120。在IP消息系统软件安装期间,可以更改此端口值。如果您更改了此端口值,则可使用自选的端口号。 添加系统上V7111和V7122网关的端口号。 请参阅本节后面的模拟和数字网关端口。 |
VCX 系统包含V7111模拟网关,用于通过模拟电话线连接到公共交换电话网(PSTN)或模拟电话和传真机。它还使用数字网关连接PSTN(T1和E1 spans)。
V7111模拟网关使用以下端口:
表3 V7111模拟网关端口号
通道号 |
UDP端口 |
T.38端口(传真) |
1 |
4000 |
4002 |
2 |
4010 |
4012 |
3 |
4020 |
4022 |
4 |
4030 |
4032 |
5 |
4040 |
4042 |
6 |
4050 |
4052 |
7 |
4060 |
4062 |
8 |
4070 |
4072 |
9 |
4080 |
4082 |
10 |
4090 |
4092 |
11 |
4100 |
4102 |
12 |
4110 |
4112 |
13 |
4120 |
4122 |
14 |
4130 |
4132 |
15 |
4140 |
4142 |
16 |
4150 |
4152 |
17 |
4160 |
4162 |
18 |
4170 |
4172 |
19 |
4180 |
4182 |
20 |
4190 |
4192 |
21 |
4200 |
4202 |
22 |
4210 |
4212 |
23 |
4220 |
4222 |
24 |
4230 |
4232 |
V7122数字网关使用以下端口号:
表4 V7122数字网关端口号
通道号 |
UDP端口 |
T.38端口(传真) |
一般公式: (n=通道号) |
6000+10(n-1) |
6002+10(n-1) |
例如: 此表仅包含通道号示例。使用一般公式计算未显示的通道号的端口号。 |
||
1 |
6000 |
6002 |
2 |
6010 |
6012 |
3 |
6020 |
6022 |
4 |
6030 |
6032 |
5 |
6040 |
6042 |
6 |
6050 |
6052 |
7 |
6060 |
6062 |
8 |
6070 |
6072 |
96 |
6950 |
6592 |
120 |
7190 |
7192 |
192 |
7910 |
7912 |
240 |
8390 |
8392 |
384 |
9830 |
9832 |
480 |
10790 |
10792 |
IP消息系统(vcxums)使用这些端口。如果VCX系统未使用IP消息系统,则每台VCX服务器上集成的防火墙将禁止访问这些端口。
端口号 |
端口类型 |
需要该端口的服务 |
25 |
TCP |
SMTP |
110 |
TCP |
POP3 |
143 |
TCP |
IMAP |
389 |
TCP |
LDAP |
3Com提供的VCX系统已为系统级别的登录ID配置了默认密码。
3Com强烈建议您更改以下登录ID的密码:
l app
l cworks
l root
l vcx
l oracle
l tomcat
首选的方法是在网络中的每台服务器初始配置期间更改密码。
如果已经配置好服务器却没有更改密码,可运行此命令:
vcx-reconfigure –wizard
如果输入此命令,则必须对包括默认密码在内的所有服务器参数进行完整配置。
要更改IP消息系统Root帐户的密码:
1) 在AppMon界面的主菜单中,单击管理员配置文件。
2) 在登录ID文本框中,输入root。
3) 在密码文本框中,输入root帐户的新密码。
4) 单击退出。
5) 单击保存。
要更改IP会议系统的Web配置密码:
1) 请使用浏览器访问IP会议系统服务器。
2) 使用登录ID root和当前密码。
3) 单击配置文件 > 更改密码。
4) 修改密码信息。
3Com强烈建议您更改配置界面的管理员登录ID的密码。要更改管理员界面,请运行以下脚本:
/opt/3com/VCX/tomcat/scripts/admincfg
该脚本提示您更改以下登录ID的密码:
l dir
l manager
l user
l admin
完成了要做的所有更改之后,该脚本会提示您重新启动tomcat服务。
|
3Com建议您依照公司的安全准则来保护新密码。 |
作为一项安全防范措施,如果在所配置的时间后没有活动,则VCX配置界面将终止登录会话。默认值是30分钟。要更改超时值,请运行以下脚本:
/opt/3com/VCX/tomcat/scripts/sessioncfg
3Com建议您配置呼叫处理器以质询所有的SIP邀请消息。
要使用remoteCli命令配置此功能:
1) 请输入这些命令启动remoteCli进程。
cd /opt/3com/VCX/callprocessor/remoteCli/bin
./remoteCli –call
2) 启动remoteCli后,输入以下命令:
>config CcCfg ChallengeAllCalls=true
如果您使用SNMP工具(例如,智能管理中心iMC)管理VCX系统,则可通过以下步骤增强系统的安全性:
l 更改VCX服务器的默认读写字符串
VCX系统支持简单网络管理协议(SNMP)版本v1。(SNMP)版本v1传输明文社区名称。3Com建议您使用以下方法限制SNMP访问VCX服务器:
l 只允许受信任的子网上的主机访问VCX服务器。
要限制使用iMC访问VCX服务器:
1) 请在iMC浏览器的左侧窗格中,选择所需的VCX服务器。
2) 对于每台要访问VCX服务器的工作站,请在右窗格中选择授权站点>添加。
3) 输入授权站点的IP地址和网络掩码。
在许多简单网络管理协议(SNMP)的实施中,iMC和VCX SNMP代理都依从CERT advisory CA-2002-03 Multiple Vulnerabilities。
SNMP协议指定的默认读写社区字符串分别是public和private。3Com强烈建议您在每台服务器初始配置时更改这些字符串。
要更改默认读写社区字符串,在setup脚本提示您时输入想要的字符串。
如果任何VCX系统使用POP3客户端访问其语音邮件,其所使用的登录ID和密码将在没有加密的情况下通过网络传输。
从VCX 7.1版本开始,系统管理员可保存并恢复VCX配置参数。
配置备件文件存储于此位置中:
/opt/3com/VCX/backup/
|
VCX配置备件文件中可能会包含敏感信息,将以确保只有授权个人能访问的方式存储。 |
文件名格式为:
<hostname>_<systemversion>_<cfgtype>_<timestamp>.tar.gz
示例:reg1a7_VCX.7.1.0_all_060502084611.tar.gz
说明:
l VCX服务器的主机名是reg1a7。
l 系统版本(软件版本)是VCX.7.1.0。
l 配置类型是all(IP电话系统和消息系统也称为“一体化系统”)。
l 配置备份文件创建于2006年5月2日上午 8:46:11。
《VCX系统维护手册》中说明将设备添加为受信端点的过程。 通常情况下,系统管理员单独增加设备。remoteCli命令执行此功能的格式为:
config CcTrusted RowStatus=<RowStatus variable> index=<index ID> TrustedAddress=<IP address of endpoint>
或者,通过指定适当的网络掩码,系统管理员可以指定一个IP地址范围作为受信端点。
remoteCli命令的格式为:
config CcTrusted RowStatus=<RowStatus variable> index=<index ID> TrustedAddress=<IP address of first endpoint> netmask=<netmask (in IP address format)>
|
当为此命令的网络掩码部分选择数值时要小心。例如,数值为255.255.255.0的网络掩码将导致VCX呼叫处理器将子网上的每一个设备都当作受信端点。数值为 255.255.255.24的网络掩码允许一个范围为8个受信端点的IP地址。 |