大型IP電話安全設計
2003/03/10
大型IP電話設計利用了SAFE中的大型網(wǎng)絡設計。為了實現(xiàn)IP電話功能,對SAFE設計進行了某些修改,包括:
·為研發(fā)和營銷部門的數(shù)據(jù)網(wǎng)添加了基于PC的IP電話。
·為語音郵件系統(tǒng)增加了一個語音網(wǎng)。
·為邊緣分布模塊添加了用于本地呼叫的PSTN。
·提高了服務器模塊中呼叫處理網(wǎng)段的可用性,并在前面增加了一對狀態(tài)防火墻。
·在與語音相關的所有服務中安裝了HIDS。
·按照語音和相關網(wǎng)段中的流量對NIDS作了調(diào)整。
大型IP電話安全網(wǎng)絡主要包含的模塊有:大廈模塊、企業(yè)服務器模塊,每種模塊應包含的內(nèi)容有:整體設計、訪問控制和包檢查、性能和可擴展性、高可用性、安全管理、其他設計方案。我們將分別進行描述。
大廈模塊
大廈模塊包括最終用戶工作站、IP電話及其相關的第2層接入點。其主要目標是為最終用戶提供服務。
1.主要IP電話設備
·第2層交換機(支持VLAN)——這種交換機為數(shù)據(jù)和語音設備提供第2層服務。
· 用戶工作站——用戶工作站通過基于PC的IP電話為網(wǎng)上的授權用戶提供數(shù)據(jù)服務和語音服務。
·IP電話——IP電話為網(wǎng)上用戶提供語音服務。
2.保護語音安全的措施
· 包竊聽/呼叫截獲——交換式基礎設施能有效地預防竊聽。
·病毒和特洛伊木馬應用——基于主機的病毒掃描能預防多數(shù)病毒和特洛伊木馬。
·非授權訪問——這種訪問可以通過HIDS和應用訪問控制有效消除。
·呼叫者身份欺詐——向管理員通報未知設備。
·話費欺詐——呼叫處理管理器不允許配置未知電話,訪問控制只允許已知電話網(wǎng)相互通信。
·否認——呼叫處理管理器的呼叫設置記錄能提供某種防否認功能。
·IP欺詐——RFC 2827和1918過濾器放置在ISP邊緣和本地防火墻路由器上。
3.設計指南
大廈模塊的主要功能是交換數(shù)據(jù)和語音流量,同時實施數(shù)據(jù)網(wǎng)和語音網(wǎng)之間的分離。這些功能通常由無狀態(tài)第3層過濾和VLAN執(zhí)行,病毒掃描可以保護數(shù)據(jù)網(wǎng)上的用戶系統(tǒng)。
在交換機內(nèi),VLAN功能是打開的,目的是防止從數(shù)據(jù)網(wǎng)對語音網(wǎng)發(fā)起攻擊。無狀態(tài)第3層過濾能控制融合網(wǎng)絡方案中列出的流量,任何非法流量都將遭到拒絕并記錄在案。病毒掃描的最初目的是防止從本地發(fā)起對用戶系統(tǒng)的攻擊,現(xiàn)在還執(zhí)行對基于PC的IP電話的控制。病毒掃描安裝在用戶系統(tǒng)中,以便防止對數(shù)據(jù)網(wǎng)上基于PC的IP電話發(fā)起的攻擊滲透到語音網(wǎng)上。
原SAFE文檔中建議,基于小組的過濾應該將同一IP網(wǎng)絡上的兩個部門分開。例如,營銷和研發(fā)部門只能訪問自己的服務器,但是,這種方法對IP電話不適用。營銷部門的用戶應該可以通過IP電話呼叫研發(fā)部門的用戶,但不能用基于PC的IP電話呼叫。否則,就會違反基本過濾規(guī)則。
企業(yè)服務器模塊
服務器模塊的主要目標是向最終用戶和設備提供應用和語音服務。
1.主要IP電話設備
·第3層交換機——第3層交換機在服務器模塊內(nèi)路由和交換數(shù)據(jù)、語音和管理流量,并支持流量過濾和NIDS等先進服務。
·公司服務器——公司服務器為內(nèi)部用戶提供電子郵件和語音郵件服務,并為工作站提供文件、打印和DNS服務。
·呼叫處理管理器——呼叫處理管理器為網(wǎng)絡中的IP電話設備提供語音服務。
·狀態(tài)防火墻——狀態(tài)防火墻為呼叫處理器提供網(wǎng)絡級保護,包括對流量進行狀態(tài)過濾、DoS預防和欺詐預防。
·代理服務器——為IP電話提供數(shù)據(jù)服務。
2.保護語音安全的措施
·包竊聽/呼叫截獲——交換式基礎設施能有效地預防竊聽。
·非授權訪問——這種訪問可以通過HIDS和應用訪問控制有效消除。
·呼叫者身份欺詐——向管理員通報未知設備。
·話費欺詐——呼叫處理管理器不允許配置未知電話,訪問控制只允許已知電話網(wǎng)相互通信。
·否認——呼叫處理管理器的呼叫設置記錄能提供某種防否認功能。
·IP欺詐——IP欺詐在第3層交換機和狀態(tài)防火墻上提供RFC 2827和1918過濾器。
·應用層攻擊——為操作系統(tǒng)、設備和應用提供最新安全修復,多數(shù)服務器還受到HIDS的保護。
·拒絕服務——將語音和數(shù)據(jù)網(wǎng)分開能顯著減少受攻擊的可能性。狀態(tài)防火墻TCP設置能控制保留給呼叫處理管理器和代理服務器的內(nèi)容。
·信任關系利用——通過有限信任模式和專用VLAN預防基于信任關系的攻擊。
3.設計指南
服務器模型包括IP電話所需的所有語音服務。駐留在分離網(wǎng)段中的呼叫處理管理器、代理服務器、語音郵件和郵件系統(tǒng)不但能適應大型企業(yè)的需要,還能提供分層安全性。所有服務都安裝了HIDS代理,服務器模塊中的所有流量都接受第3層交換機IDS的檢查,呼叫處理網(wǎng)段受到狀態(tài)防火墻保護。
服務分離能大大提高可擴展性和安全性。并減少出現(xiàn)配置錯誤的機會。任何其他流量都將遭到拒絕并記錄在案,如果NIDS探測到異常情況,系統(tǒng)將借助原理章節(jié)中列出的說明發(fā)出警報。HIDS能夠探測到郵件、語音郵件或呼叫處理設備中的異常情況。代理服務器與呼叫處理管理器處于同一個VLAN上,但專用VLAN用于防止本地信任關系利用攻擊。
限制擴展能力的是呼叫處理管理器和語音郵件系統(tǒng)支持的IP電話設備的數(shù)量。在這種設計中,性能不是問題,因為所有必要的服務都在本地的快速以太網(wǎng)交換網(wǎng)上提供,只有通過WAN使用本地服務的某些遠程站點例外。
這個模塊也提供第2層和第3層彈性配置。添加語音服務后實現(xiàn)了高可用性。兩個狀態(tài)防火墻將受保護的呼叫處理管理器網(wǎng)段與服務器模塊中的兩臺第3層交換機連接在一起。內(nèi)部網(wǎng)段的第2層彈性不但表現(xiàn)在防火墻的內(nèi)部接口與兩臺第2層交換機之間,還表現(xiàn)在雙接口呼叫處理器上。在這種配置中,每個呼叫處理管理器都使用兩塊網(wǎng)絡接口卡,這兩塊接口卡處在同一個網(wǎng)絡中,各與一臺交換機相連。
對于IP電話,所有語音服務器都應該支持多個接口。語音服務是網(wǎng)絡的關鍵組件,限制對語音服務的訪問是預防攻擊的關鍵。這種設計使用了第3層和第4層過濾,以便限制已知管理系統(tǒng)對語音服務器的管理。應用級安全性用于為管理流量提供保密和用戶認證。
還有一種選擇是將其他DMA網(wǎng)段的語音郵件系統(tǒng)放置在狀態(tài)防火墻上。這種設置能夠在電話設備和語音郵件系統(tǒng)之間執(zhí)行狀態(tài)檢查和過濾,而不是使用目前的無狀態(tài)過濾。這種方法還能為語音郵件系統(tǒng)提供DoS預防,并在它與數(shù)據(jù)網(wǎng)中的郵件服務器之間提供狀態(tài)檢查。這種方法的唯一缺點是增加了配置的復雜性。
網(wǎng)絡世界(cnw.ccw.com.cn)
东至县|
扶余县|
茌平县|
临清市|
正定县|
德令哈市|
天水市|
喀喇|
固始县|
永康市|
淮阳县|
锡林浩特市|
龙州县|
大英县|
古浪县|
尖扎县|
南召县|
类乌齐县|
庆城县|
西贡区|
罗城|
鹿泉市|
伊川县|
嘉峪关市|
桑植县|
开原市|
齐齐哈尔市|
县级市|
航空|
保靖县|
阿合奇县|
梓潼县|
拉孜县|
调兵山市|
利津县|
靖远县|
建瓯市|
丹寨县|
舟山市|
应用必备|
伊金霍洛旗|