IP電話(huà)與SAFE
——IP電話(huà)安全性分析
2003/02/26
設計原則
SAFE IP電話(huà)首先必須提供IP電話(huà)服務(wù)。其次,一方面它必須盡可能多地包含傳統電話(huà)的特性,另一方面必須提高安全性。最后,它必須以SAFE安全體系結構為基礎,與現有網(wǎng)絡(luò )設計集成在一起,而且不能與現有功能相沖突。在決策過(guò)程中,應該考慮以下設計目標(按優(yōu)先順序排序):按照政策提高安全性和防止攻擊;
服務(wù)質(zhì)量; 可靠性、性能和可擴展性; 用戶(hù)和設備(身份)認證; 高可用性選項(某些設計); 安全管理。
如果想用IP網(wǎng)絡(luò )打電話(huà),必須消除基于IP的威脅。與傳統數據網(wǎng)相比,必須保證在緊急情況下,成千上萬(wàn)部IP電話(huà)都能隨時(shí)撥通緊急服務(wù)電話(huà)(例如911)。另外由于設備發(fā)生故障或惡意攻擊都會(huì )影響網(wǎng)絡(luò )的正常運行。思科將介紹幾種技術(shù)用于消除這些威脅。
在各種設計方案中可能需要用多種模塊,每種設計或模塊應包含的內容有:整體設計、訪(fǎng)問(wèn)控制和包檢查、性能和可擴展性、高可用性、安全管理、其他設計方案。
影響SAFE IP電話(huà)設計的重要因素
雖然不同規模企業(yè)的IP電話(huà)設計大不相同,但面臨的基本問(wèn)題幾乎相同。因此,影響SAFE IP電話(huà)設計的重要因素比較相似。
1.語(yǔ)音網(wǎng)絡(luò )是被攻擊的目標:語(yǔ)音網(wǎng)絡(luò )的主要問(wèn)題在于它們是開(kāi)放的,無(wú)需或只需少量認證就能獲準進(jìn)入。因此,語(yǔ)音網(wǎng)絡(luò )成為黑客的攻擊目標。例如有些人喜歡搞惡作劇,以人力資源的口氣向公司的所有成員發(fā)一封語(yǔ)音郵件,宣布放假一天。有些人則喜歡訪(fǎng)問(wèn)首席財務(wù)官的語(yǔ)音信箱。更有甚者,有些人還喜歡竊聽(tīng)與客戶(hù)的通話(huà),甚至將通話(huà)內容透露給競爭對手。這些情況都已經(jīng)在IP數據網(wǎng)中發(fā)生過(guò),IP語(yǔ)音網(wǎng)絡(luò )也不可幸免,因此語(yǔ)音網(wǎng)必須采取措施提高安全性。
2.數據和語(yǔ)音網(wǎng)必須分離:基于IP的電話(huà)能夠通過(guò)現有的IP數據網(wǎng)撥打電話(huà)。但是,由于QoS、可擴展性、可管理性和安全性等因素,IP電話(huà)和IP數據設備應該部署在兩個(gè)邏輯上獨立的網(wǎng)段中。將IP語(yǔ)音與傳統IP數據網(wǎng)分離將能大大提高抗攻擊能力。
雖然網(wǎng)段應該分離,但思科并不建議部署兩個(gè)IP基礎設施。VLAN、訪(fǎng)問(wèn)控制和狀態(tài)防火墻等技術(shù)可以提供必要的第3層分段,以便使語(yǔ)音網(wǎng)和數據網(wǎng)在接入層分離。
3.終端設備是薄弱環(huán)節:IP電話(huà)的終端設備主要有三種形式,普通電話(huà)、IP電話(huà)和基于PC的IP電話(huà)。各種終端設備都有不同的安全特性。
A.普通電話(huà)設備需要防止竊聽(tīng)。在基于普通電話(huà)的IP電話(huà)系統中,如果能將網(wǎng)段分開(kāi),可阻止數據網(wǎng)中的設備竊聽(tīng)語(yǔ)音網(wǎng)中的會(huì )話(huà)。將數據網(wǎng)和語(yǔ)音網(wǎng)的交換式基礎設施結合在一起,能夠有效防止電話(huà)竊聽(tīng)。
但是,值得注意的是,如果黑客能接入本地交換網(wǎng),就可能用盜來(lái)的MAC地址,獲得目標電話(huà)的身份,然后截獲通話(huà)內容。
B.IP電話(huà)應遵守數據/語(yǔ)音分離準則。許多IP電話(huà)都支持一個(gè)數據端口,以便將PC與電話(huà)連接在一起,這種方式應遵守數據/語(yǔ)音分離準則。某些類(lèi)型IP電話(huà)只提供基本的第2層連接,即IP電話(huà)實(shí)際上是作為集線(xiàn)器,安全特性相對較差。某些類(lèi)型IP電話(huà)提供增強的第2層連接,而且可以利用802.1q等VLAN技術(shù)將電話(huà)和數據端口放置在兩個(gè)不同的VLAN中。這種體系結構能將數據和語(yǔ)音網(wǎng)分開(kāi)。
C.基于PC的IP電話(huà)易遭攻擊。由于有多個(gè)矢量進(jìn)入系統,因此基于PC的IP電話(huà)更容易受到攻擊。這些矢量包括操作系統(OS)易損性、應用易損性、服務(wù)易損性、蠕蟲(chóng)、病毒等。由于基于PC的IP電話(huà)駐留在數據網(wǎng)中,因此,它還容易受到面向整個(gè)網(wǎng)絡(luò )的攻擊。
重要實(shí)施策略
1.合理放置防火墻,有效控制語(yǔ)音—數據網(wǎng)段交互:只有適當控制數據和語(yǔ)音網(wǎng)之間的訪(fǎng)問(wèn)才能部署安全的IP電話(huà)網(wǎng)。要實(shí)現這一任務(wù),應該使用狀態(tài)防火墻,因為它能提供基于主機的DoS保護,防止連接短缺和分段攻擊;在合理和必要的地方,還通過(guò)防火墻提供每端口接入、反竊聽(tīng)和常規過(guò)濾等功能。思科并不提倡在所有網(wǎng)段之間放置狀態(tài)防火墻。相反,需要在特殊網(wǎng)絡(luò )位置放置狀態(tài)防火墻。防火墻將負責以下連接:
● 放置在數據網(wǎng)段中,保護語(yǔ)音網(wǎng)中的語(yǔ)音郵件系統安全。
● 放置在語(yǔ)音網(wǎng)段中,為呼叫建立控制,并配置與數據網(wǎng)中呼叫處理管理器相連的IP電話(huà)。
● 放置在語(yǔ)音網(wǎng)段中,隔離放置在數據網(wǎng)段中與語(yǔ)音郵件系統連接的IP電話(huà)。
● 放置在語(yǔ)音網(wǎng)段中,通過(guò)語(yǔ)音網(wǎng)中的代理服務(wù)器瀏覽IP電話(huà)資源——包括員工用戶(hù)目錄等。
● 放置在數據網(wǎng)段中,保證IP電話(huà)用戶(hù)能夠修改電話(huà)的配置。
● 處于語(yǔ)音網(wǎng)段中,數據網(wǎng)的代理服務(wù)器——服務(wù)器代理IP電話(huà)服務(wù)發(fā)出的所有請求。
基于PC的IP電話(huà)還會(huì )存在以下兩種連接:
● 數據網(wǎng)段中的IP電話(huà)訪(fǎng)問(wèn)語(yǔ)音網(wǎng)段中的呼叫處理管理器,以便建立呼叫。
● 數據網(wǎng)段中的IP電話(huà)訪(fǎng)問(wèn)語(yǔ)音網(wǎng)段中的語(yǔ)音郵件系統。
如果IP電話(huà)設備使用專(zhuān)用地址空間,例如RFC 1918提供的地址空間,可以降低流量到達網(wǎng)絡(luò )外部的可能性。這樣,網(wǎng)絡(luò )外部的黑客就無(wú)法發(fā)現語(yǔ)音網(wǎng)中的漏洞。如果可能,應該盡量在數據和語(yǔ)音網(wǎng)中使用不同的RFC
1918地址空間,以便進(jìn)行過(guò)濾和識別。雖然在所有設計中都將狀態(tài)防火墻作為呼叫處理管理器的前端,但NAT對語(yǔ)音網(wǎng)內傳輸的流量不起作用。在所有設計中,NAT都應在數據網(wǎng)和語(yǔ)音網(wǎng)之間,以便通過(guò)代理服務(wù)器支持IP電話(huà)服務(wù)。
2.建立身份識別機制:應盡可能多地使用用戶(hù)和設備認證機制,這樣能阻止對IP電話(huà)網(wǎng)發(fā)起的許多攻擊。IP電話(huà)設備的認證方法主要是MAC地址設置。用戶(hù)認證能更加有效防止設備盜竊MAC地址,并假冒其目標身份作案。
用戶(hù)名/密碼/PIN組合還可以用于識別訪(fǎng)問(wèn)呼叫處理管理器的用戶(hù),用戶(hù)能夠在獲得成功認證之后訪(fǎng)問(wèn)其定制的配置設置。某些語(yǔ)音郵件系統還支持雙因素認證。在這種情況下,用戶(hù)必須通過(guò)嚴格的認證才能修改其定制設置或者聽(tīng)取語(yǔ)音郵件。
3.有效防止設備偷接:無(wú)論在哪種IP網(wǎng)絡(luò )中都應該防止偷接設備插入網(wǎng)絡(luò )。鎖定網(wǎng)絡(luò )中的交換端口、網(wǎng)段和服務(wù)將可防止設備偷接。下面的四個(gè)策略能夠有效防止設備偷接。
首先,由于動(dòng)態(tài)主機配置協(xié)議(DHCP)一般都用于部署可擴展的IP電話(huà),因此,可以為已知MAC地址分配IP地址,防止未知設備獲取地址。
其次,許多呼叫處理管理器都提供自動(dòng)電話(huà)注冊特性,以便為未知電話(huà)提供臨時(shí)配置,在日常工作中應該關(guān)閉這個(gè)功能,以減少設備偷接機會(huì )。
第三,可以在語(yǔ)音網(wǎng)絡(luò )中使用Arpwatch等工具監控MAC地址。與數據網(wǎng)段相比,MAC地址更有可能是靜態(tài)的,Arpwatch將跟蹤語(yǔ)音網(wǎng)段中所有設備的MAC地址。
最后,在所有網(wǎng)段中設置過(guò)濾功能。
4.保護和監控所有語(yǔ)音服務(wù)器和網(wǎng)段:對語(yǔ)音網(wǎng)中的語(yǔ)音服務(wù)器應該采取相應的保護措施。網(wǎng)絡(luò )入侵探測系統(NIDS)是一種強大的工具,目前,NIDS不提供語(yǔ)音控制協(xié)議攻擊簽名。為探測從數據網(wǎng)發(fā)起的對HTTP用戶(hù)設備的攻擊,應該將NIDS部署在呼叫處理管理器的前面。如果想探測對語(yǔ)音網(wǎng)的DoS攻擊,應該將NIDS部署在語(yǔ)音和數據網(wǎng)之間。
除監控特性外,NIDS還提供兩個(gè)特性。如果探測到網(wǎng)段上有攻擊特征,它可以打開(kāi)回避功能,并修改網(wǎng)絡(luò )設備的3層地址配置,以刪除此網(wǎng)段上的所有其他流量。它的復位功能可用于撤消這些操作。
語(yǔ)音郵件和呼叫處理管理器正確的操作包括:關(guān)閉所有不需要的服務(wù),及時(shí)為OS和服務(wù)補充最新的安全補丁,強化OS配置,關(guān)閉語(yǔ)音服務(wù)器上不用的特性,以及不在服務(wù)器上運行不必要的應用(例如電子郵件客戶(hù)機軟件)等。建議安裝基于主機的IDS(HIDS)。由于語(yǔ)音服務(wù)器的目標值高,而且核查安全的時(shí)間長(cháng),
HIDS能夠立即、有效地防止攻擊。如果呼叫處理管理器不支持HIDS,則應該在數據網(wǎng)段中的郵件服務(wù)器上安裝HIDS。語(yǔ)音服務(wù)器可以運行分布在多臺設備上的多種服務(wù),應當利用這個(gè)特性提高安全性。語(yǔ)音服務(wù)器還支持多種管理方法,包括HTTP、SSL和SNMP等協(xié)議。
網(wǎng)絡(luò )世界(cnw.ccw.com.cn)
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
化州市|
翼城县|
枣庄市|
平江县|
社会|
团风县|
海淀区|
兴山县|
延津县|
应城市|
岳池县|
时尚|
昔阳县|
武强县|
肃宁县|
呼图壁县|
柏乡县|
姜堰市|
天镇县|
天峨县|
黔西县|
尉氏县|
高青县|
定日县|
鄱阳县|
东乡族自治县|
商都县|
大埔县|
正定县|
嘉荫县|
宁远县|
扎兰屯市|
松滋市|
永仁县|
临猗县|
库伦旗|
五大连池市|
宜昌市|
南阳市|
竹山县|
沈阳市|
http://444
http://444
http://444
http://444
http://444
http://444