1、 POLYCOM 视频系统 安全配置建议 1.0 SEPTEMBER 29, 2016 POLYCOM视频 设备安全 配置 建议 目录 HDX 安全建议 2 Group 安全建议 7 Media Suite 11 RSS4000 13 Web suite-WSP . 16 Web suite-MEA 17 DMA 安全建议 19 RPRM 安全建议 24 RPAD 安全建议 . 27 MCU 安全建议 31 POLYCOM视频 设备安全 配置 建议 HDX 安全 建议 1. 为 了保证恶意登录设备管理,更改配置,建议 使用 遥控器设置登录访问密码。 请注意:选 “ 访问系统必须登陆 ” POL
2、YCOM视频 设备安全 配置 建议 2. 防止特殊 的端口扫描,建议 关闭 SNMP 服务 POLYCOM视频 设备安全 配置 建议 3. 防止特殊 的端口扫描,建议 关闭 Telnet 服务 POLYCOM视频 设备安全 配置 建议 4. 防止 会议内容被窃听,建议开始 AES 加密服务 5. 防止 密码过于简单,建议修改密码设置 复杂 程度 参数 6. 时刻提醒终端使用者的安全意识,建议 开启 安全标语服务 POLYCOM视频 设备安全 配置 建议 7. 防止 没有验证的用户管理终端,建议 增加证书 验证 8. 防止 没有 授权 的用户管理终端,建议 增加白名单 9. 防止 恶性的登录尝试
3、,建议修改 相关 的 账户 管理 参数 。 POLYCOM视频 设备安全 配置 建议 10. 防止远程 的恶性登录尝试,建议修改 相关 的 远程 访问设置 参数 。 Group 安全 建议 1. 同 HDX, 使用 遥控器设置登录访问密码。 请注意:选 “ 访问系统必须登陆 ” 2. 防止特殊 的端口扫描,建议 关闭 Telnet 服务 3. 防止特殊 的端口扫描,建议 关闭 SNMP 服务 POLYCOM视频 设备安全 配置 建议 4. 防止特殊 的端口扫描,建议 关闭 SSH 服务 5. 时刻提醒终端使用者的安全意识,建议 开启 安全标语服务 POLYCOM视频 设备安全 配置 建议 6.
4、 防止 没有验证的用户管理终端,建议 增加证书 验证 和 吊销过期的证书 7. 防止 会议内容被窃听,建议开始 AES 加密服务 POLYCOM视频 设备安全 配置 建议 8. 防止 无关人员加入会议,建议设置会议 密码 9. 防止 恶性的登录尝试,建议修改 相关 的 账户锁定参数 10. 为 了加强 登录 密码安全性, 建议 修改 用户的 初始登录密码 11. 防止 密码过于简单,建议修改密码设置 复杂 程度 参数 POLYCOM视频 设备安全 配置 建议 Media Suite 1. 为 了加强 登录 密码安全性, 建议 修改 用户的 初始登录密码 2. 防止特殊 的端口扫描,建议 关闭
5、SNMP 服务 3. 防止特殊 的端口扫描,建议 关关闭 SSH 访问 POLYCOM视频 设备安全 配置 建议 4. 为 了防止恶性的攻击 和 扫描,建议 限制 会话登录 的 最大 连接 数,以及会话空闲的最大时 长 。 5. 防止 恶性的登录尝试,建议修改 相关 的 账户 管理 参数 。 6. 防止 密码过于简单,建议修改 密码 管理以及密码设置 复杂 程度 参数 。 POLYCOM视频 设备安全 配置 建议 7. 防止端口 开放过多,建议 固定 H.323 和 SIP 通讯使 用的 端口 RSS4000 1. 为 了加强 登录 密码安全性, 建议 修改 用户的 初始登录密码 POLYCO
6、M视频 设备安全 配置 建议 2. 防止特殊 的端口扫描,建议 关闭 SNMP 服务 3. 防止特殊 的端口扫描,建议 关闭 telnet 服务 POLYCOM视频 设备安全 配置 建议 4. 为 了防止恶性的攻击 和 扫描,建议 限制 会话登录 的 最大 连接 数,以及会话空闲的最大时 长 8. 防止 恶性的登录尝试,建议修改 相关 的 账户 管理 参数 。 9. 防止 密码过于简单,建议修改 密码 管理以及密码设置 复杂 程度 参数 。 POLYCOM视频 设备安全 配置 建议 10. 防止端口 开放过多,建议 固定 H.323 和 SIP 通讯使 用的 端口 Web suite-WSP
7、1. 为 了加强 登录 密码安全性, 建议 修改 用户的 初始登录密码 POLYCOM视频 设备安全 配置 建议 2. 防止特殊 的端口扫描,建议 关闭 SNMP 服务 3. 防止没有授权 用户的登录,建议添加证书 Web suite-MEA 1. 建议重新 规划 默认 角色的 权限和 角色分配 POLYCOM视频 设备安全 配置 建议 2. 防止没有授权 用户的登录,建议添加证书 POLYCOM视频 设备安全 配置 建议 DMA 安全 建议 1. 收到 DMA 后请立即 修改 DMA 管理 员默认密码 ,并 定期做密码修改确保 安全 2. 启用 密码 lockout 功能 ,防止 恶意尝试
8、POLYCOM视频 设备安全 配置 建议 3. DMA 访问 安全 3.1 根据 需求合理配置 DMA 登录 session 以及超时间隔 ; 必要时可以配置白名单访 问 3.2 关闭 SSH 端口 ,如果 有技术排查需求且需要用到 22 端口 , 再行 打开 22 端口 POLYCOM视频 设备安全 配置 建议 3.3 提供 AD 集成,可以配置并 允许 AD 认证 用户登录访问 RPRM 4. 建议启用 SSL3.0, 系统运行在最新 SSL 协议上 , 安全系数更高 5. 如果 呼叫日志等数据 有 私密需求,请注意 取消 DMA 数据上传诊断功能 。 有 故障排除需求可 直接 通过故障申
9、报流程反馈需求解决 POLYCOM视频 设备安全 配置 建议 6. 设备 注册安全建议 6.1 在 DMA 中添加 h323 鉴权账号,并 启用 h323 鉴权,对视频 终端注册进行统一管理, 尤其 是 DMA 有相关 SBC 设备 实现 了外网设备注册 的,避免 注册地址 被 泄露后被恶意注册盗打 6.2 在 DMA 中添加 SIP 鉴权账号,并 启用 SIP 鉴权,对视频 终端注册进行统一管理,尤其 是 DMA 有相关 SBC 设备 实现 了外网设备注册 的,避免 注册地址 被 泄露后被恶意注册盗打 POLYCOM视频 设备安全 配置 建议 6.3 添加 DMA 虚拟 会议室 密码, 进一
10、步保护会议私密性 7. 启用 audit log, 监控核心 设备日常操作以及 变更 POLYCOM视频 设备安全 配置 建议 RPRM 安全 建议 1. 收到 RPRM 后请立即 修改 RPRM 管理 员默认密码 ,并 定期做密码修改确保 安全 2. 根据 需求合理配置 DMA 登录 session 以及超时间隔 ; 必要时可以配置白名单访 问 POLYCOM视频 设备安全 配置 建议 3. 设备 访问安全 3.1 关闭 SSH 端口 并 关闭 Linux 访问 ,如果 有技术排查需求且需要用到 22 端口 , 再行打开 22 端口 3.2 提供 AD 集成,可以配置并 允许 AD 认证 用
11、户登录访问 RPRM 3.3 关闭 ICMP ping 功能 ,由于 是 RPRM 所处网段 可以 路由到 Internet 的 ; 防止 远程 恶意 使用 ping 占用网络 资源以及嗅探 POLYCOM视频 设备安全 配置 建议 4. 根据 需求 关闭 SMNP 或者使用标准 认证软件开启 SMNP 监控 POLYCOM视频 设备安全 配置 建议 RPAD 安全 建议 1. 收到 PRAD 后请立即 修改 RPAD 管理 员默认密码 ,并 定期做密码修改确保 安全 2. 关闭 SSH 端口 并 关闭 Linux 访问 ,如果 有技术排查需求且需要用到 22 端口 , 再行 打开 22 端口 3. 启用 局域网访问模式,禁止外部访问 页面 POLYCOM视频 设备安全 配置 建议 4. 根据 需求 关闭 SMNP 或者使用标准 认证软件开启 SMNP 监控 5. 通信 安全建议 2.1 启用 SIP 防 扫描 脚本 POLYCOM视频 设备安全 配置 建议 2.2 已 购买 RPRM 用户,亦可以根据实际需求只允许 授权登录用户注册 呼叫
