大型IP電話(huà)安全設(shè)計(jì)
2003/03/10
大型IP電話(huà)設(shè)計(jì)利用了SAFE中的大型網(wǎng)絡(luò)設(shè)計(jì)。為了實(shí)現(xiàn)IP電話(huà)功能,對(duì)SAFE設(shè)計(jì)進(jìn)行了某些修改���,包括:
·為研發(fā)和營(yíng)銷(xiāo)部門(mén)的數(shù)據(jù)網(wǎng)添加了基于PC的IP電話(huà)�����。
·為語(yǔ)音郵件系統(tǒng)增加了一個(gè)語(yǔ)音網(wǎng)�����。
·為邊緣分布模塊添加了用于本地呼叫的PSTN�。
·提高了服務(wù)器模塊中呼叫處理網(wǎng)段的可用性��,并在前面增加了一對(duì)狀態(tài)防火墻����。
·在與語(yǔ)音相關(guān)的所有服務(wù)中安裝了HIDS。
·按照語(yǔ)音和相關(guān)網(wǎng)段中的流量對(duì)NIDS作了調(diào)整�。
大型IP電話(huà)安全網(wǎng)絡(luò)主要包含的模塊有:大廈模塊、企業(yè)服務(wù)器模塊���,每種模塊應(yīng)包含的內(nèi)容有:整體設(shè)計(jì)��、訪(fǎng)問(wèn)控制和包檢查����、性能和可擴(kuò)展性���、高可用性�、安全管理���、其他設(shè)計(jì)方案��。我們將分別進(jìn)行描述�����。
大廈模塊
大廈模塊包括最終用戶(hù)工作站���、IP電話(huà)及其相關(guān)的第2層接入點(diǎn)。其主要目標(biāo)是為最終用戶(hù)提供服務(wù)�。
1.主要IP電話(huà)設(shè)備
·第2層交換機(jī)(支持VLAN)——這種交換機(jī)為數(shù)據(jù)和語(yǔ)音設(shè)備提供第2層服務(wù)。
· 用戶(hù)工作站——用戶(hù)工作站通過(guò)基于PC的IP電話(huà)為網(wǎng)上的授權(quán)用戶(hù)提供數(shù)據(jù)服務(wù)和語(yǔ)音服務(wù)����。
·IP電話(huà)——IP電話(huà)為網(wǎng)上用戶(hù)提供語(yǔ)音服務(wù)。
2.保護(hù)語(yǔ)音安全的措施
· 包竊聽(tīng)/呼叫截獲——交換式基礎(chǔ)設(shè)施能有效地預(yù)防竊聽(tīng)�����。
·病毒和特洛伊木馬應(yīng)用——基于主機(jī)的病毒掃描能預(yù)防多數(shù)病毒和特洛伊木馬。
·非授權(quán)訪(fǎng)問(wèn)——這種訪(fǎng)問(wèn)可以通過(guò)HIDS和應(yīng)用訪(fǎng)問(wèn)控制有效消除�。
·呼叫者身份欺詐——向管理員通報(bào)未知設(shè)備。
·話(huà)費(fèi)欺詐——呼叫處理管理器不允許配置未知電話(huà)���,訪(fǎng)問(wèn)控制只允許已知電話(huà)網(wǎng)相互通信��。
·否認(rèn)——呼叫處理管理器的呼叫設(shè)置記錄能提供某種防否認(rèn)功能���。
·IP欺詐——RFC 2827和1918過(guò)濾器放置在ISP邊緣和本地防火墻路由器上。
3.設(shè)計(jì)指南
大廈模塊的主要功能是交換數(shù)據(jù)和語(yǔ)音流量�,同時(shí)實(shí)施數(shù)據(jù)網(wǎng)和語(yǔ)音網(wǎng)之間的分離。這些功能通常由無(wú)狀態(tài)第3層過(guò)濾和VLAN執(zhí)行��,病毒掃描可以保護(hù)數(shù)據(jù)網(wǎng)上的用戶(hù)系統(tǒng)���。
在交換機(jī)內(nèi)�,VLAN功能是打開(kāi)的�����,目的是防止從數(shù)據(jù)網(wǎng)對(duì)語(yǔ)音網(wǎng)發(fā)起攻擊�。無(wú)狀態(tài)第3層過(guò)濾能控制融合網(wǎng)絡(luò)方案中列出的流量��,任何非法流量都將遭到拒絕并記錄在案�。病毒掃描的最初目的是防止從本地發(fā)起對(duì)用戶(hù)系統(tǒng)的攻擊�,現(xiàn)在還執(zhí)行對(duì)基于PC的IP電話(huà)的控制。病毒掃描安裝在用戶(hù)系統(tǒng)中��,以便防止對(duì)數(shù)據(jù)網(wǎng)上基于PC的IP電話(huà)發(fā)起的攻擊滲透到語(yǔ)音網(wǎng)上�。
原SAFE文檔中建議�,基于小組的過(guò)濾應(yīng)該將同一IP網(wǎng)絡(luò)上的兩個(gè)部門(mén)分開(kāi)。例如��,營(yíng)銷(xiāo)和研發(fā)部門(mén)只能訪(fǎng)問(wèn)自己的服務(wù)器���,但是�����,這種方法對(duì)IP電話(huà)不適用���。營(yíng)銷(xiāo)部門(mén)的用戶(hù)應(yīng)該可以通過(guò)IP電話(huà)呼叫研發(fā)部門(mén)的用戶(hù),但不能用基于PC的IP電話(huà)呼叫����。否則��,就會(huì)違反基本過(guò)濾規(guī)則�。
企業(yè)服務(wù)器模塊
服務(wù)器模塊的主要目標(biāo)是向最終用戶(hù)和設(shè)備提供應(yīng)用和語(yǔ)音服務(wù)��。
1.主要IP電話(huà)設(shè)備
·第3層交換機(jī)——第3層交換機(jī)在服務(wù)器模塊內(nèi)路由和交換數(shù)據(jù)�����、語(yǔ)音和管理流量��,并支持流量過(guò)濾和NIDS等先進(jìn)服務(wù)���。
·公司服務(wù)器——公司服務(wù)器為內(nèi)部用戶(hù)提供電子郵件和語(yǔ)音郵件服務(wù)����,并為工作站提供文件�、打印和DNS服務(wù)。
·呼叫處理管理器——呼叫處理管理器為網(wǎng)絡(luò)中的IP電話(huà)設(shè)備提供語(yǔ)音服務(wù)���。
·狀態(tài)防火墻——狀態(tài)防火墻為呼叫處理器提供網(wǎng)絡(luò)級(jí)保護(hù)���,包括對(duì)流量進(jìn)行狀態(tài)過(guò)濾、DoS預(yù)防和欺詐預(yù)防����。
·代理服務(wù)器——為IP電話(huà)提供數(shù)據(jù)服務(wù)�����。
2.保護(hù)語(yǔ)音安全的措施
·包竊聽(tīng)/呼叫截獲——交換式基礎(chǔ)設(shè)施能有效地預(yù)防竊聽(tīng)���。
·非授權(quán)訪(fǎng)問(wèn)——這種訪(fǎng)問(wèn)可以通過(guò)HIDS和應(yīng)用訪(fǎng)問(wèn)控制有效消除。
·呼叫者身份欺詐——向管理員通報(bào)未知設(shè)備���。
·話(huà)費(fèi)欺詐——呼叫處理管理器不允許配置未知電話(huà),訪(fǎng)問(wèn)控制只允許已知電話(huà)網(wǎng)相互通信���。
·否認(rèn)——呼叫處理管理器的呼叫設(shè)置記錄能提供某種防否認(rèn)功能�����。
·IP欺詐——IP欺詐在第3層交換機(jī)和狀態(tài)防火墻上提供RFC 2827和1918過(guò)濾器�。
·應(yīng)用層攻擊——為操作系統(tǒng)��、設(shè)備和應(yīng)用提供最新安全修復(fù)����,多數(shù)服務(wù)器還受到HIDS的保護(hù)�。
·拒絕服務(wù)——將語(yǔ)音和數(shù)據(jù)網(wǎng)分開(kāi)能顯著減少受攻擊的可能性���。狀態(tài)防火墻TCP設(shè)置能控制保留給呼叫處理管理器和代理服務(wù)器的內(nèi)容�����。
·信任關(guān)系利用——通過(guò)有限信任模式和專(zhuān)用VLAN預(yù)防基于信任關(guān)系的攻擊���。
3.設(shè)計(jì)指南
服務(wù)器模型包括IP電話(huà)所需的所有語(yǔ)音服務(wù)。駐留在分離網(wǎng)段中的呼叫處理管理器���、代理服務(wù)器�、語(yǔ)音郵件和郵件系統(tǒng)不但能適應(yīng)大型企業(yè)的需要�����,還能提供分層安全性��。所有服務(wù)都安裝了HIDS代理����,服務(wù)器模塊中的所有流量都接受第3層交換機(jī)IDS的檢查,呼叫處理網(wǎng)段受到狀態(tài)防火墻保護(hù)。
服務(wù)分離能大大提高可擴(kuò)展性和安全性��。并減少出現(xiàn)配置錯(cuò)誤的機(jī)會(huì)����。任何其他流量都將遭到拒絕并記錄在案,如果NIDS探測(cè)到異常情況��,系統(tǒng)將借助原理章節(jié)中列出的說(shuō)明發(fā)出警報(bào)���。HIDS能夠探測(cè)到郵件�����、語(yǔ)音郵件或呼叫處理設(shè)備中的異常情況。代理服務(wù)器與呼叫處理管理器處于同一個(gè)VLAN上��,但專(zhuān)用VLAN用于防止本地信任關(guān)系利用攻擊���。
限制擴(kuò)展能力的是呼叫處理管理器和語(yǔ)音郵件系統(tǒng)支持的IP電話(huà)設(shè)備的數(shù)量��。在這種設(shè)計(jì)中���,性能不是問(wèn)題,因?yàn)樗斜匾姆⻊?wù)都在本地的快速以太網(wǎng)交換網(wǎng)上提供,只有通過(guò)WAN使用本地服務(wù)的某些遠(yuǎn)程站點(diǎn)例外�。
這個(gè)模塊也提供第2層和第3層彈性配置。添加語(yǔ)音服務(wù)后實(shí)現(xiàn)了高可用性��。兩個(gè)狀態(tài)防火墻將受保護(hù)的呼叫處理管理器網(wǎng)段與服務(wù)器模塊中的兩臺(tái)第3層交換機(jī)連接在一起��。內(nèi)部網(wǎng)段的第2層彈性不但表現(xiàn)在防火墻的內(nèi)部接口與兩臺(tái)第2層交換機(jī)之間����,還表現(xiàn)在雙接口呼叫處理器上。在這種配置中�����,每個(gè)呼叫處理管理器都使用兩塊網(wǎng)絡(luò)接口卡���,這兩塊接口卡處在同一個(gè)網(wǎng)絡(luò)中��,各與一臺(tái)交換機(jī)相連�。
對(duì)于IP電話(huà)���,所有語(yǔ)音服務(wù)器都應(yīng)該支持多個(gè)接口��。語(yǔ)音服務(wù)是網(wǎng)絡(luò)的關(guān)鍵組件���,限制對(duì)語(yǔ)音服務(wù)的訪(fǎng)問(wèn)是預(yù)防攻擊的關(guān)鍵��。這種設(shè)計(jì)使用了第3層和第4層過(guò)濾����,以便限制已知管理系統(tǒng)對(duì)語(yǔ)音服務(wù)器的管理��。應(yīng)用級(jí)安全性用于為管理流量提供保密和用戶(hù)認(rèn)證����。
還有一種選擇是將其他DMA網(wǎng)段的語(yǔ)音郵件系統(tǒng)放置在狀態(tài)防火墻上。這種設(shè)置能夠在電話(huà)設(shè)備和語(yǔ)音郵件系統(tǒng)之間執(zhí)行狀態(tài)檢查和過(guò)濾�����,而不是使用目前的無(wú)狀態(tài)過(guò)濾��。這種方法還能為語(yǔ)音郵件系統(tǒng)提供DoS預(yù)防����,并在它與數(shù)據(jù)網(wǎng)中的郵件服務(wù)器之間提供狀態(tài)檢查�。這種方法的唯一缺點(diǎn)是增加了配置的復(fù)雜性。
網(wǎng)絡(luò)世界(cnw.ccw.com.cn)