流量檢查可實(shí)現讓VoIP數據高枕無(wú)憂(yōu)
2010/03/16
多媒體應用與企業(yè)傳統網(wǎng)絡(luò )結合在企業(yè)中已經(jīng)是司空見(jiàn)慣的事情。特別是隨著(zhù)VoIP技術(shù)的穩步發(fā)展,IP語(yǔ)音逐漸成為企業(yè)網(wǎng)絡(luò )中的一個(gè)不可或缺的新成員。但是這也對企業(yè)網(wǎng)絡(luò )的安全提出了新的挑戰。最近針對企業(yè)VoIP應用的攻擊也逐漸多了提來(lái)。筆者也跟攻擊者打過(guò)幾回交道。在這里筆者就跟大家分享一下這方面防護的經(jīng)驗,主要就是如何通過(guò)流量檢查讓VoIP數據高枕無(wú)憂(yōu)。
一、保障H.323協(xié)議的安全
H.323協(xié)議是VoIP技術(shù)中一個(gè)比較關(guān)鍵的協(xié)議。由于這個(gè)協(xié)議族是基于TCP連接的,所以也比較容易受到攻擊。H.323協(xié)議族使用2個(gè)TCP連接以及4到6個(gè)UDP連接。他們基本上都是為了一個(gè)特定的會(huì )話(huà)而協(xié)同工作。這個(gè)協(xié)議可以完成多項關(guān)鍵性的工作。如其管理安全與認證相關(guān)的內容、協(xié)商信道的使用等等。故保證這個(gè)協(xié)議的安全性,是VoIP安全體系中一個(gè)非常重要的內容。
在實(shí)際工作中,由于這個(gè)協(xié)議其采用的事抽象語(yǔ)法符號對分組進(jìn)行編碼。為此要對其采取一些安全措施有一定的難度。或者說(shuō),市面針對這種抽象語(yǔ)法符號的安全解決方案比較少。這主要是因為要理解H.323流的內容比起理解其他現存的協(xié)議的流要相對簡(jiǎn)單許多。正是由于這一點(diǎn),很多攻擊者就喜歡拿這個(gè)協(xié)議開(kāi)刀,作為攻擊的跳板。
那么安全管理人員是否就對此束手無(wú)策了呢?那也不是。在思科的防火墻中,就提供了一個(gè)現成的防護機制。H.323通常情況下是使用1720做為T(mén)CP控制端口的。而這個(gè)端口也是攻擊者喜歡使用的端口。在現實(shí)工作中,如果能夠加強對這個(gè)端口的流量進(jìn)行檢查,那么久可以保證VoIP應用的安全。通過(guò)命令fixup protocol h323命令就可以啟用對這個(gè)端口流量的檢查。由于在PIX防火墻中默認是通過(guò)端口1720連接來(lái)檢查h.323流量,故在命令中不需要帶上端口參數。
不過(guò)有時(shí)候為了進(jìn)一步提套其安全性,會(huì )改變這個(gè)默認端口。改變之后,攻擊者就不能夠通過(guò)端口掃描等方法來(lái)判斷企業(yè)是否采用了VoIP應用。改變了端口之后,安全設置人員仍然需要在改變端口后的新端口中啟用H.323流量檢查。此時(shí)需要在命令fixup protocol h323后面帶上端口參數。
二、啟用MGCP流量檢查
MGCP是一個(gè)語(yǔ)音協(xié)議,它的地位與H.323協(xié)議類(lèi)似。語(yǔ)音協(xié)議與7號信令系統一起運行。這個(gè)協(xié)議的主要功能就是用來(lái)橋接交換電路網(wǎng)絡(luò )以及分組網(wǎng)絡(luò )。MGCP語(yǔ)音協(xié)議可以將信令與呼叫控制同媒體網(wǎng)關(guān)分離。當MGCP語(yǔ)音協(xié)議受到攻擊的話(huà),就有可能出現語(yǔ)音通信故障,甚至被竊聽(tīng)的情況。所以啟用MGCP流量檢查,保障這個(gè)MGCP流量的安全,也是非常重要的一項安全措施。
默認情況下,這個(gè)流量檢查是被禁用的。這主要是出于性能的考慮。因為對流量進(jìn)行檢查,勢必會(huì )對數據流的傳輸造成負面的影響。故在啟用這個(gè)檢查之前,網(wǎng)絡(luò )安全人員還需要評估,在安全與性能之間取得均衡。通常情況下,要使用MGCP語(yǔ)音協(xié)議至少需要用到兩個(gè)端口,一個(gè)用于網(wǎng)關(guān)接受命令(默認采用的端口是2427),另外一個(gè)用于呼叫代理接收命令(默認使用的端口號是2727)。如果要啟用MGCP流量檢查的話(huà),則需要同時(shí)在這兩個(gè)端口上進(jìn)行配置。其配置也很簡(jiǎn)單,只需要使用命令fixup protocol mgcp,后面加上具體的端口號即可。
筆者再次強調一下,當啟用了MGCP流量檢查之后,一定要對其性能進(jìn)行評估。如果網(wǎng)絡(luò )部署不合理,則啟用這個(gè)功能后,IP語(yǔ)音電話(huà)的性能會(huì )有直線(xiàn)的下降,甚至出現語(yǔ)音電話(huà)比較長(cháng)時(shí)間的延遲。所以啟用后進(jìn)行性能的評估,是非常有必要的。不要等到用戶(hù)投訴后再去處理。
三、啟用SCCP客戶(hù)控制協(xié)議
SCCP,又叫做瘦客戶(hù)端協(xié)議。顧名思義,它是普通客戶(hù)端協(xié)議的簡(jiǎn)化版。這個(gè)協(xié)議主要用于思科呼叫管理器以及VoIP電話(huà)之間的通信。雖然這最早是思科開(kāi)發(fā)設計的,不過(guò)現在其他公司的產(chǎn)品也有支持這個(gè)協(xié)議的。在VoIP解決方案中,這個(gè)可以簡(jiǎn)化終端機的操作,易于用戶(hù)上手。
在需要啟用對這個(gè)協(xié)議的應用檢查之前,企業(yè)管理人員比需要了解一些前提條件。即如果將SCCP協(xié)議與NAT等技術(shù)一起使用的話(huà),需要遵守一些限制條件。一是這個(gè)檢查不支持分段的SCCP消息;二是不支持外部的NAT技術(shù);三是要慎用命令debug skinny,其可能會(huì )導致信息延遲發(fā)送,在實(shí)時(shí)環(huán)境中對性能會(huì )產(chǎn)生一定的負面影響;四是不支持SCCP呼叫狀態(tài)失效功能等等。注意只有對SCCP協(xié)議啟用應用檢查的時(shí)候,會(huì )有這么多的限制。而且只有將SCCP協(xié)議與NAT技術(shù)組合使用時(shí)才會(huì )有。而對于上面提到的其他協(xié)議,則沒(méi)有這方面的規定。所以在實(shí)際工作中容易被技術(shù)人員所忽視。
默認情況下,這個(gè)應用檢查是被啟用的。用戶(hù)可以使用命令fixup protocol skinny命令來(lái)更改分配給SCCP的缺省端口(缺省端口默認為2000)。在實(shí)際應用環(huán)境中,通過(guò)更改缺省端口也是一種提高其安全性的措施。在這個(gè)命令后面加上port選項就可以更改其默認的端口,使用-port選項則可以在一定的端口范圍內來(lái)啟用SCCP應用檢查。
這個(gè)協(xié)議與上面談到的幾個(gè)協(xié)議有所區別。如在這個(gè)協(xié)議與NAT技術(shù)組合使用的情況下,啟用SCCP應用檢查的話(huà),需要遵循一些限制條件。再如在配置命令的時(shí)候,其采用的關(guān)鍵字是skinny,而不是SCCP。像其他協(xié)議使用的關(guān)鍵字都是協(xié)議本身。這一點(diǎn)對于初學(xué)的人來(lái)說(shuō)需要特別的強調一下。
另外當SCCP與NAT組合使用時(shí),筆者順便提一個(gè)跟安全無(wú)關(guān)的問(wèn)題,但是其影響到VoIP的正常使用。當呼叫服務(wù)器的地址經(jīng)過(guò)NAT服務(wù)器重定向到另外一個(gè)地址或者端口的時(shí)候,并且外部電話(huà)使用TFTP向其進(jìn)行注冊,則防火墻一般不支持使用TFTP簡(jiǎn)易文件傳輸協(xié)議來(lái)傳輸文件。也就是說(shuō),即使防火墻支持TFTP消息的NAT地址轉換技術(shù),并且TFTP協(xié)議數據流也可以通過(guò)防火墻,但是在電話(huà)注冊時(shí)IP電話(huà)的配置文件不能夠使用TFTP協(xié)議傳輸。因為防火墻通常情況下不能夠解析IP電話(huà)的配置文件中嵌入的呼叫服務(wù)器的IP地址與端口。故筆者建議,在實(shí)際工作中如果沒(méi)有充分必要的話(huà),不要將SCCP瘦客戶(hù)端協(xié)議與NAT網(wǎng)絡(luò )技術(shù)轉換技術(shù)同時(shí)使用。如果確實(shí)要使用的話(huà),則這些安全與部屬上的限制條件要牢記在心。在部屬于設置完成之后,需要進(jìn)行比較嚴格的測試,特別是要針對這些限制條件進(jìn)行測試。
除了以上三個(gè)協(xié)議之外,VoIP應用中還涉及到SIP會(huì )話(huà)初始化協(xié)議等等。其原理跟這三個(gè)協(xié)議類(lèi)似。出于安全的考慮,也需要啟用應用檢查。無(wú)論是什么協(xié)議,只要對其啟用了流量檢查,都需要評估啟用了之后是否會(huì )對性能產(chǎn)生不利的影響。通常情況下,啟用了之后肯定會(huì )造成性能的下降。不過(guò)企業(yè)網(wǎng)絡(luò )部屬方案與環(huán)境不同,其造成的影響也是不同的。所以管理員需要測試與評估,看其是否在用戶(hù)能夠忍受的范圍之內。魚(yú)與熊掌不能夠兼得,用戶(hù)還是需要在這兩者當中進(jìn)行選擇。一般情況下,只要不影響到IP電話(huà)的通話(huà)效果,還是要啟用為好。畢竟除了這個(gè)應用檢查之外,現在還沒(méi)有其他比較好的安全措施。
ZDNET
相關(guān)閱讀:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
武川县|
方正县|
金溪县|
临沭县|
陕西省|
双牌县|
元江|
三都|
缙云县|
馆陶县|
荣成市|
雷山县|
磴口县|
穆棱市|
沭阳县|
吴江市|
响水县|
咸宁市|
叙永县|
墨玉县|
噶尔县|
南川市|
合水县|
彰化县|
勃利县|
正镶白旗|
北京市|
清水县|
河源市|
盐城市|
商南县|
余江县|
乌兰县|
肥城市|
永昌县|
宁化县|
阳信县|
祥云县|
彩票|
福安市|
察隅县|
http://444
http://444
http://444
http://444
http://444
http://444