Cisco數(shù)據(jù)和語音分離保安全
2004/06/22
由于QoS���、可擴展性、可管理性和安全性等原因�����,IP電話設(shè)備和IP數(shù)據(jù)設(shè)備應(yīng)該部署在兩個邏輯上獨立的網(wǎng)段中����。將IP語音與傳統(tǒng)IP數(shù)據(jù)網(wǎng)分離能大大提高抗攻擊能力,而且允許使用相同的接入層����、核心層和分布層。
在第三層分離
雖然網(wǎng)段應(yīng)該分離���,但Cisco并不建議部署兩個IP基礎(chǔ)設(shè)施。虛擬LAN(VLAN)��、訪問控制和狀態(tài)防火墻等技術(shù)可以提供必要的第3層分段,以便使語音網(wǎng)和數(shù)據(jù)網(wǎng)在接入層分離���。
某些IP電話只提供基本的第2層連接�����,即IP電話實際上是作為集線器��,將數(shù)據(jù)和語音網(wǎng)結(jié)合在一起�。某些IP電話提供增強的第2層連接�����,而且可以利用802.1q等VLAN技術(shù)將電話和數(shù)據(jù)端口放置在兩個不同的VLAN中�。這種體系結(jié)構(gòu)是假設(shè)已部署的IP電話支持VLAN,因而能將數(shù)據(jù)和語音網(wǎng)分開���。安全設(shè)計不應(yīng)該只依賴VLAN執(zhí)行網(wǎng)絡(luò)分離�����,它們還應(yīng)該遵守分層的安全最佳實踐�����,并采用與IP電話連接的分布層中的第3層訪問控制���。所有設(shè)計中都采用了這種最佳實踐����。
控制二網(wǎng)交互
只有適當(dāng)控制數(shù)據(jù)和語音網(wǎng)之間的訪問才能部署安全的IP電話網(wǎng)����。要實現(xiàn)這一任務(wù),應(yīng)該使用狀態(tài)防火墻���,因為它能提供基于主機的DoS保護(hù)��,防止連接短缺和分段攻擊����;在合理和必要的地方��,還通過防火墻提供每端口接入�、反竊聽和常規(guī)過濾。Cisco不提倡在所有網(wǎng)段之間放置狀態(tài)防火墻����。相反,需要在允許網(wǎng)段交互的特殊網(wǎng)絡(luò)位置放置狀態(tài)防火墻���。在網(wǎng)絡(luò)的任何其它地方都不允許發(fā)生網(wǎng)段間通信��,執(zhí)行這種功能無狀態(tài)第3層過濾就已足夠�,數(shù)據(jù)和語音網(wǎng)段之間允許通過多種合法流量�。
建立身份識別機制
應(yīng)盡可能多地使用用戶和設(shè)備認(rèn)證機制,這樣能阻止對IP電話網(wǎng)發(fā)起的許多攻擊�����。IP電話設(shè)備的主要認(rèn)證方法是MAC地址��。如果MAC地址未知的電話試圖從呼叫處理管理器下載網(wǎng)絡(luò)配置�,而且它不知道IP電話的MAC地址,那么�����,IP電話將接收到配置信息����,假定自動注冊已失效。這種設(shè)置能防止某人將電話偷接到網(wǎng)絡(luò)中���,然后通話�。
用戶認(rèn)證能更加有效地防止攻擊,即防止設(shè)備盜竊MAC地址�,并假冒其目標(biāo)的身份作案。提供用戶認(rèn)證還能提供某種程度的防否認(rèn)功能��,因為如果雙方都成功地獲得了認(rèn)證���,就有某種理由相信處于電話另一端的人或設(shè)備�。
用戶名/密碼/PIN組合還可以用于識別訪問呼叫處理管理器的用戶��。借助這個特性����,用戶能夠在獲得成功認(rèn)證之后訪問其定制的配置設(shè)置。用戶必須通過嚴(yán)格的認(rèn)證才能修改其定制設(shè)置(例如問候語)或者聽取語音郵件���。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)
相關(guān)鏈接: