|
|
Ericsson:
MD110 PBX FAQ - Tek-Tips Support MD110 System Security, www.tek-tips.com, faq806-3220, автор FICRI Перевод с английского
(c) Razhivin Igor (DJ2, dj-2)
Безопасность системы MD110 È - To Copyright
Содержание
1.1 Выводы 3 Соединения MD110 с внешним миром 4 Плоскость пользователя и плоскость управления 4.2.1 Порты ввода-вывода 4.2.2 Порты MML 4.2.3 Процедура входа в систему (Log-on) 4.2.4 Уровни авторизации для команд 4.2.5 Порты доступа 4.2.6 Порты MML (не сетевые) на платах NIU или IPU 4.2.7 Сетевой порт на плате NIU 4.2.8 Платы ICU и SIU 4.2.9 Агент доступа AAU1
Безопасность системы MD110 X К названию статьи
Целью этого документа являются ответы на вопросы, касающиеся аспектов безопасности (защиты) УПАТС MD110 фирмы Эрикссон.
Безопасность (защита) в данном случае означает способность системы по предотвращению доступа неавторизованных внешних пользователей к системе.
1.1 Выводы Результатом написания этого документа являются следующие выводы:
· Невозможно получить доступ к системе команд, иначе, чем через процедуру авторизованного доступа. · Пользователь, который получил доступ к системе команд, не может получить доступ к сетевому порту MD110. · Нельзя получить доступ к системе команд или к сетевому порту через интерфейс абонентской или соединительной линии. · Нельзя получить доступ к сетевому порту Агента доступа через систему команд MD110.
2 Сокращения AAU Access Agent Unit – Агент доступа D.N.A Dynamic Network Administration – Динамическое сетевое управление ICU Information Computer Unit – Информационный компьютер I/O Input/Output – Ввод-вывод IPU I/O Processor Unit – Процессорный блок ввода-вывода ISDN Integrated Services Digital Network – Цифровая сеть интегрального обслуживания MML Man Machine Language – Язык «человек-машина» NIU Network Interface Unit – Блок сетевого интерфейса PPP Point to Point Protocol – Протокол «точка-точка» SIU Serial Interface Unit – Блок последовательного интерфейса TCP/IP Transmission Control Protocol / Internet Protocol - Протокол управления передачей данных / Межсетевой протокол
АЛ – абонентская линия (extension) ПО – программное обеспечение (sofware) СЛ – соединительная линия (trunk, tie-line) ТфОП – телефонная сеть общего пользования (PSTN) УПАТС – Учрежденческо-производственная АТС (PBX, PABX)
3 Соединения MD110 с внешним миром Как и большинство других УПАТС, MD110 имеет ряд соединений с внешним миром:
· Аналоговые или цифровые соединительные линии (СЛ) с ТфОП. · Аналоговые или цифровые СЛ с другими УПАТС. · Аналоговые или цифровые абонентские линии (АЛ) для подключения телефонов или другого оконечного оборудования. · Порты ввода-вывода для общения со станцией через систему команд или другие интерфейсы для взаимодействия с системным ПО.
4 Плоскость пользователя и плоскость управления MD110 является учрежденческой АТС, в которой плоскость пользователя отделена от плоскости управления. Всё взаимодействие между плоскостью пользователя и плоскостью управления осуществляется посредством заранее заданных сообщений.
Плоскость пользователя включает в себя все СЛ, АЛ и оборудование коммутации.
Плоскость управления содержит системное ПО, и предусматривает взаимодействие с системой через порты MML.
Как уже упоминалось выше, MD110 является учрежденческой АТС, в которой плоскость пользователя отделена от плоскости управления.
Системное ПО с помощью заранее определённых сообщений может дополнять, стирать или распечатывать данные, которые применяются в пользовательской плоскости. Пользователями (абонентами) УПАТС могут быть изменены некоторые данные пользовательской плоскости, например, может быть установлена или снята переадресация на другие номера, запрограммированы индивидуальные сокращённые номера.
Пользователь в пользовательской плоскости не может производить следующие действия: · менять данные плоскости управления, за исключением данных, перечисленных выше; · иметь доступ к портам ввода-вывода плоскости управления; · иметь доступ к функциям TCP/IP.
В случае соединений ISDN D-канал заканчивается в транковой плате. В системе не реализовано никаких сервисов для D-канала (подобно протоколу ISDN X.25, или тому подобному) для подключения любой услуги к плоскости управления.
Следовательно, невозможно получить доступ к системе команд через входящую ISDN СЛ или терминал ISDN.
MD110 может иметь ряд присоединённых терминалов, которые могут взаимодействовать с системным ПО. Такие терминалы подключаются к портам MML для конфигурирования системы или к другим портам, используемым для ввода или вывода данных регистрации разговоров.
4.2.2 Порты MML MD110 может иметь несколько портов MML, которые используются для местного или удалённого конфигурирования системы. Такие порты могут иметь интерфейс V.24 или Ethernet. Оба типа портов могут быть использованы в качестве сетевых портов, использующих стек протоколов TCP/IP.
4.2.3 Процедура входа в систему (Log-on) Начиная с версии станции BC10, для работы через порты MML платы NIU пользователь должен иметь учётную запись (по типу, как это сделано на AXE-10 – DJ2). База данных учётных записей позволяет обслужить максимум 64 пользовательские учётные записи.
Для того, чтобы войти («залогиниться») в систему команд MD110, пользователь должен ввести свой идентификатор (имя) и персональный пароль. Каждая учётная запись может быть связана с максимальным уровнем авторизации, что предотвращает доступ пользователей с низкими уровнями авторизации к командам более высоких уровней авторизации.
Каждый порт MML может быть запрограммирован на определенный уровень авторизации. Это означает, что пользователь, подключившийся и вошедший в систему команд через порт с ограниченным уровнем доступа, не сможет выполнить команды, имеющие более высокий уровень авторизации, чем присвоен данному порту, даже если уровень авторизации подключившегося пользователя позволяет выполнить эти команды.
DJ2: «Другими словами, например, порту Y присвоен уровень авторизации 5, порту Z – уровень 7. Пользователь M имеет уровень 7. Команде XXXXX присвоен уровень 7 (см. п.4.2.4 – DJ2). Таким образом, пользователь M сможет выполнить команду ХХХХХ только через порт Z, а не через порт Y.»
Заметьте, что система учётных записей не распространяется на платы ввода вывода предыдущего поколения - платы IPU, которые требуют только введения одного из 8 системных паролей. Таким образом, в системах с высокой степенью защиты не следует использовать платы IPU.
4.2.4 Уровни авторизации для команд Каждой команде MML в MD110 может быть присвоен один из 8 (0-7) уровней авторизации. Это означает, что для выполнения команды с определённым уровнем доступа пользователь должен иметь, по крайней мере, такой же уровень доступа, или выше.
Это позволяет присвоить различным группам пользователей различные права. Пользователи с определённым уровнем доступа имеют возможность выполнения всех команд с таким же уровнем или ниже. Это означает, что пользователь с наивысшим уровнем авторизации (доступа) – 7, будет иметь доступ ко всем командам системы и может рассматриваться как суперпользователь (суперюзер – системный администратор). Пользователь с уровнем 7 также имеет доступ к местным командам плат NIU и IPU.
Поэтому важно, чтобы в установках с высокой степенью защиты наивысший уровень авторизации 7 присваивался только некоторым пользователям с административной ответственностью.
Порты MML могут использоваться только для посылки команд MML в плоскость управления. Невозможно транслировать команды с одного порта V.24 на другой порт V.24.
4.2.6 Порты MML (не сетевые) на платах NIU или IPU Порт V.24, определённый как порт MML, применяется для изменения и распечатывания прикладных телефонных данных. Порт MML не может быть использован для доступа к функциям TCP/IP.
4.2.7 Сетевой порт на плате NIU Начиная с версии BC10, стало возможным задать на плате NIU сетевой порт. Это позволяет получить доступ к системе через Telnet или Ethernet, или модем, подключенный через порт V.24 PPP (сетевой порт). Сетевой терминал может установить соединение с MD110 для передачи в неё команд MML. Поскольку на плате NIU функции маршрутизации отсутствуют, то, например, нельзя получить доступ к порту Ethernet через порт PPP.
4.2.8 Платы ICU и SIU Платы ICU, ICU2 и SIU, используемые в версиях УПАТС вплоть до версии BC9 включительно, имеют порты V.24, которые применяются для подключения специального оборудования, такого, как intercept-компьютеров или оборудования регистрации записей о разговорах. Порты V.24 на этих платах не имеют доступа к системе команд, и не имеют сетевого интерфейса.
4.2.9 Агент доступа AAU1 Агент доступа AAU1 имеет как несетевые порты, так и сетевые порты. Подключение агента доступа к MD110 осуществляется через порт V.24. На MD110 этот порт V.24 может быть сконфигурирован только как порт MML (то есть несетевой порт).
В отличие от платы NIU агент AAU1 имеет ограниченные возможности по маршрутизации. Это ограничение относится к маршрутизации между различными интерфейсами TCP/IP, Ethernet, Token Ring (маркерным кольцом) и PPP (TCP/IP через модем). Таким образом, порт MML не имеет доступа к функциям TCP/IP.
Удалённый пользователь сначала должен выполнить процедуру доступа к плате AAU1, а затем выполнить процедуру доступа к MD110. AAU также имеет базу данных учётных записей с именами и паролями пользователей. Максимально может быть задано 255 пользователей.
Просьба отметить, что если плата Агента доступа подключена к порту V.24 на плате IPU в MD110, то для доступа из платы агента к MD110 требуется только системный пароль.
Copyright
© 1998-2003 Tecumseh Group, Inc. All rights reserved. Unauthorized
reproduction forbidden.
|
|