NGN呼喚安全
2003/12/12
因為結構簡(jiǎn)單,公共交換電話(huà)網(wǎng)(PSTN)與生俱來(lái)就是安全的。但Gartner認為,隨著(zhù)開(kāi)始遷移到下一代網(wǎng)絡(luò )(NGN),網(wǎng)絡(luò )在變得更為復雜的同時(shí),一些重要的安全特性也將不復存在。因而,業(yè)界正制訂標準以應對新漏洞,運營(yíng)商面臨加強網(wǎng)絡(luò )安全的重任。
NGN的遷移之路
公共交換電話(huà)網(wǎng)絡(luò )(PSTN)天生具有安全性:每路電話(huà)只發(fā)出非常簡(jiǎn)單的控制消息; 控制指令無(wú)法輕易偽裝成語(yǔ)音內容; 電話(huà)交換機(PBX)的數字訪(fǎng)問(wèn)管理嚴格限制了發(fā)送控制消息的功能; 運營(yíng)商的核心信令系統(即SS7)受到保護,能夠防止外部訪(fǎng)問(wèn)。
盡管如此,隨著(zhù)網(wǎng)絡(luò )逐漸向建立在基于分組體系結構上的下一代網(wǎng)絡(luò )(NGN)上遷移,上述這些安全特性將不復存在。到2010年,PSTN將從面向連接、針對語(yǔ)音優(yōu)化的服務(wù)遷移到基于分組的體系結構,雖然這種體系結構能夠支持多種不同媒體和內容的無(wú)縫集成,但目前還是容易受到多種惡意攻擊。不過(guò)業(yè)界在竭力解決這種體系結構存在的漏洞,Gartner Dataquest預計第一批安全標準會(huì )在2004年完成,2005年將開(kāi)始陸續推出新產(chǎn)品。
NGN的實(shí)施將是漸進(jìn)的方式,新的基礎設施大多將會(huì )集成防漏洞的功能。NGN的體系結構將在每一層集成防漏洞的功能,所有外部接口都將得到保護,無(wú)論是客戶(hù)設備、傳統的PSTN,還是包括因特網(wǎng)在內的其他IP網(wǎng)絡(luò )。基礎設施的每一個(gè)部分都將得到“加固”,以防范入侵和拒絕服務(wù)攻擊。最后,所有脆弱的控制和通信流量也將予以加密。
NGN的安全問(wèn)題
提供基于IP的網(wǎng)絡(luò )服務(wù)的運營(yíng)商不僅要保護各自的基礎設施免受攻擊,還理應保護客戶(hù)的末端系統。到時(shí),監控安全、防止拒絕服務(wù)攻擊將成為運營(yíng)商的一項重要任務(wù)。的確,Gartner Dataquest預計各國政府會(huì )下令運營(yíng)商在2010年之前至少保證最低級別的安全。
不過(guò),雖然NGN與因特網(wǎng)邏輯隔離,但兩者之間還是存在諸多連接點(diǎn),這包括:NGN到因特網(wǎng)的連接,由每家NGN運營(yíng)商部署的這種連接將允許因特網(wǎng)上的語(yǔ)音用戶(hù)與NGN用戶(hù)進(jìn)行通信。NGN將成為全局IP地址空間的一部分,要求域名系統(DNS)到NGN和因特網(wǎng)之間存在鏈路,客戶(hù)端也存在鏈路。這包括用于因特網(wǎng)和NGN通信的設備,比如軟交換電話(huà)和PC。這些連接點(diǎn)無(wú)疑成為NGN的隱患。
針對IP網(wǎng)絡(luò )基礎設施的攻擊一般基于這樣的現實(shí):至少一部分網(wǎng)絡(luò )基礎設施要讓末端系統看到。如果末端系統連域名服務(wù)器和默認路由器都看不到,IP通信就無(wú)法進(jìn)行。而這兩種基礎設施都可能遭到攻擊。常見(jiàn)的攻擊手法利用了設備中的潛在的已知漏洞,包括緩沖器溢出、無(wú)限路由表和簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議(SNMP)所存在的漏洞。一旦攻擊者獲得了控制路由器或域名服務(wù)器的權限,就有可能訪(fǎng)問(wèn)IP基礎設施中的其他設備。
IP基礎設施允許任意兩個(gè)設備之間進(jìn)行通信。為了外界能夠訪(fǎng)問(wèn)自己,主機和服務(wù)器就要通過(guò)DNS來(lái)宣布各自的存在。但域名、IP地址和電子郵件地址的結構使得黑客比較容易猜中連接資源的名字和地址,因而末端系統就有可能遭受入侵攻擊、病毒和拒絕服務(wù)攻擊。
NGN的安全挑戰
NGN的安全性在以下幾方面面臨挑戰。
網(wǎng)絡(luò )地址轉換: 許多企業(yè)在專(zhuān)用網(wǎng)和因特網(wǎng)之間的邊界采用網(wǎng)絡(luò )地址轉換(NAT)方式。然而,NGN確定用戶(hù)位置、建立話(huà)路所采用的會(huì )話(huà)初始協(xié)議(SIP)卻無(wú)法適用于為實(shí)施NAT而布置的路由器或防火墻中。遺憾的是,雖然目前有很多辦法可解決SIP和NAT問(wèn)題,但還沒(méi)有哪一種成為標準。
會(huì )話(huà)初始協(xié)議:有些安全漏洞與SIP本身有關(guān)。默認狀態(tài)下,SIP消息采用未加密的明文格式發(fā)送,因而容易被截獲和篡改。雖然SIP有一些安全選項功能,SIP消息也可以采用其他安全和加密選項。可是,目前還沒(méi)有什么辦法能夠讓SIP安全地通過(guò)協(xié)商,決定采用哪種安全機制。這樣一來(lái),SIP就容易受到“中間人攻擊”及其他攻擊,安全防線(xiàn)也就容易遭受突破。因特網(wǎng)工程任務(wù)組(IETF)正著(zhù)手解決這些問(wèn)題。
可靠傳輸協(xié)議:NGN的會(huì )話(huà)將由可靠傳輸協(xié)議(RTP)來(lái)承載。而這種協(xié)議容易被截獲及篡改,比如起始和目的地址被截獲及篡改。如果RTP會(huì )話(huà)未經(jīng)加密,NGN無(wú)法防止身份失竊或者會(huì )話(huà)內容被篡改。早期提案的確規定采用“臨時(shí)”加密方案,但同時(shí)也規定將來(lái)需要由較低層協(xié)議來(lái)提供安全。正如針對其他安全漏洞的方案一樣,RTP安全同樣缺乏一種明確的標準。
代碼和腳本攻擊:傳統IP電話(huà)、軟IP電話(huà)和PBX都有可能受到來(lái)自可執行代碼或腳本的攻擊。有人可能會(huì )利用可執行代碼和腳本控制用戶(hù)或NGN接口,或者傳播其他類(lèi)型的攻擊,如DDoS攻擊。
Gartner Dataquest預計會(huì )出現有人企圖偷竊服務(wù)的現象,即黑客將合法用戶(hù)的電話(huà)服務(wù)改為私用。所以基于IP的語(yǔ)音服務(wù)需要類(lèi)似保護企業(yè)數據網(wǎng)絡(luò )的防火墻及能防范惡意代碼。
此外,無(wú)線(xiàn)升級、隨地下載可執行代碼給用戶(hù)或管理員帶來(lái)便利的同時(shí),也給攻擊者帶來(lái)了可趁之機。下載用擴展標記語(yǔ)言(XML)編寫(xiě)的腳本同樣存在風(fēng)險。不過(guò)IETF的媒體網(wǎng)關(guān)控制標準有望解決這類(lèi)問(wèn)題。
計算機世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
武功县|
昌黎县|
科技|
苏尼特左旗|
石家庄市|
囊谦县|
额济纳旗|
莎车县|
高尔夫|
巧家县|
垫江县|
民权县|
北票市|
淮滨县|
英山县|
晋城|
防城港市|
壤塘县|
平定县|
保定市|
绥化市|
永平县|
台湾省|
平凉市|
宜兰县|
普定县|
安康市|
永兴县|
家居|
稷山县|
宝清县|
沙雅县|
安仁县|
嘉义县|
罗山县|
阿合奇县|
岐山县|
南召县|
和静县|
盐山县|
海安县|
http://444
http://444
http://444
http://444
http://444
http://444