VPN完整性、機密性和可用性
VPN用來在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的,端到端的專用網(wǎng)絡(luò)連接。VPN技術(shù)并不是天然就具備安全性。不論任何VPN網(wǎng)絡(luò),只有采用了適當?shù)陌踩刂撇呗圆欧Q得上是安全的VPN網(wǎng)絡(luò)。采用何種方式創(chuàng)建安全的VPN網(wǎng)絡(luò),很大程度上決定于采用的安全策略。VPN的安全策略與一般的安全策略即使不完全一致,也十分相似,因而人們首先考慮的問題類似于企業(yè)的一般的安全策略所面臨的問題。需要對企業(yè)安全策略重新進行審視,以決定是否需要針對企業(yè)中的VPN用戶作特殊的考慮和修改。需要確保所采用的安全機制的有效性(從管理者的角度)與其所提供的安全性之間取得一定的平衡。在制定VPN的安全策略時,應(yīng)重點針對VPN完整性、機密性和可用性方面考慮。
在這里的完整性是指對通信數(shù)據(jù)進行校驗,以確保傳輸過程中沒有被改變并且經(jīng)過認證,IPSee本身提供了這種功能。在使用NAT的環(huán)境下,如果IP地址被包含在完整性檢查的內(nèi)容中,就會出現(xiàn)問題:我們通常采用這樣的機制,IP地址不作為完整性檢查內(nèi)容的一部分。例如,在IPSee中,認證頭部信息(AH)很少被用來進行完整性檢查。相反,ESP通常和MD5或SHAI一起使用,提供對于數(shù)據(jù)包的完整性檢查,并且對于使用了隧道模式的網(wǎng)絡(luò),通常是檢查原始的首部而不是外部的IP首部。
如果一個IP地址偽裝成VPN類型的通信,一般這種通信都會導(dǎo)致有線的拒絕服務(wù)(DoS)攻擊并占用有限的資源。大多數(shù)情況下,都假定IP地址是可信的,而且采用其他機制來防止?jié)撛诘腄oS攻擊。
安全的VPN網(wǎng)絡(luò)總是要求對某些數(shù)據(jù)進行進行加密。你必須認真地選擇需要被加密的通信數(shù)據(jù),因為服務(wù)器的處理能力是有限的。通常的做法是加密所有通往某一特定地址的通信數(shù)據(jù),或者僅加密某個特定應(yīng)用的數(shù)據(jù)。通常 使用IPSee對通信進行加密。L2TP可以使用PPP加密,但是這是一種較為脆弱的加密方式,因此,L2TP往往與IPSee一起使用來提供機密性服務(wù)。注意在一般情況下,用戶需要修改PC/主機一方的最大通信單元(MTU),以避免接收設(shè)備無法處理的過大數(shù)據(jù)包。如果這種操作必要,則調(diào)整數(shù)據(jù)包的最大尺寸,保證它不超過未經(jīng)加密的以太網(wǎng)數(shù)據(jù)包的標準大小(1400字節(jié)),VPN應(yīng)用一般都提供了定制MTU大小的選項。
VPN網(wǎng)絡(luò)有著與其他網(wǎng)絡(luò)相同的需要,這就是要求最少的停機時間?捎眯允侵冈试S適當?shù)娜哂啵⑶以谑艿焦魰r有能力繼續(xù)傳送數(shù)據(jù)包。設(shè)置多大的冗余要依據(jù)風(fēng)險評估的結(jié)果而定。請注意,保護信息的費用遠超過使用信息的價值時,就不需要過分地保護網(wǎng)絡(luò)設(shè)備或者信息。小型的公司可能沒有足夠的資金來購買冗余設(shè)備,而大型公司應(yīng)該在所有關(guān)鍵的VPN結(jié)構(gòu)中提供冗余設(shè)備。對于所有冗余設(shè)備,應(yīng)該將配置為在某個連接或設(shè)備出現(xiàn)故障時自動提供服務(wù)。
無線網(wǎng)絡(luò)整體設(shè)計及配置思路
要實現(xiàn)安全的無線網(wǎng)絡(luò),用戶需要采用與VPN網(wǎng)絡(luò)相同的設(shè)計方法。多數(shù)情況下,無線網(wǎng)絡(luò)實際上是遠處訪問VPN的一部分。下面不再重復(fù)與VPN相關(guān)的討論,只介紹與無線訪問相關(guān)的特性和配置思路。
無線LAN的身份功能,包括認證和訪問控制功能。使用EAP進行認證的802.1x標準獲取了廣泛的認同,應(yīng)當考慮與AAA機制聯(lián)合提供身份保護。通過使用WEP或TKIP,無線網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性。由于WEP的功能有限,實施無線網(wǎng)絡(luò)時最好有關(guān)于無線AP和客戶端的最新軟件來應(yīng)用TKIP。WEP提供了機密性,但是該算法很容易被破解。而TKIP使用了更強的加密規(guī)則,可以提供更好的通信機密性。另外,一些實際應(yīng)用可能會考慮采用IPSee ESP來提供一個安全的VPN隧道。
無線網(wǎng)絡(luò)有著與其他網(wǎng)絡(luò)相同的需要,就是要求最少的停機時間。不管是由于DoS攻擊還是設(shè)備故障,無線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無線客戶端訪問。保證這項功能所花費資源的多少主要取決于保證無線網(wǎng)絡(luò)在房屋內(nèi)正常運行的重要性。有些時候,比如在機場休息室或咖啡廳,不能給用戶提供訪問只會給用戶帶來一點不方便。而一些公司越來越依賴于無線訪問進行商業(yè)運行,以此需要提供更富有彈性的服務(wù)來避免網(wǎng)絡(luò)癱瘓的情況發(fā)生。除了冗余的特性,如負載平衡和熱備用,無線網(wǎng)絡(luò)還有更多的可用性問題需要考慮,主要是關(guān)于信號強度的損失以及相關(guān)訪問點(AP)的連通性丟失等問題。通過迅速與另一個訪問點重新建立安全的連接,可以減少丟失的會話,可以很大程度地提高可用性。
審計工作是確定無線網(wǎng)絡(luò)配置是否適當?shù)谋匾襟E。如果對通信數(shù)據(jù)進行加密,則不要只依賴計數(shù)器來現(xiàn)實通信數(shù)據(jù)正在被加密。就像在VPN網(wǎng)絡(luò)中一樣,應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來檢查通信的機密性,并保證任何有意無意嗅探網(wǎng)絡(luò)的用戶不能看到通信的內(nèi)容。為了實現(xiàn)對網(wǎng)絡(luò)的審計,網(wǎng)絡(luò)管理員需要一整套方法來配置、收集、存儲和檢索網(wǎng)絡(luò)中所有AP及網(wǎng)橋的信息。網(wǎng)絡(luò)管理者必須有能力配置AP和網(wǎng)橋,監(jiān)控?zé)o線局域網(wǎng)(WLAN)設(shè)施的性能和可用性,并生成容量計劃和客戶追蹤報告。能夠同時對多個AP上的軟件進行升級或降低也是很重要的。
一個典型的安全無線網(wǎng)絡(luò),實際上是對遠程訪問VPN的擴展,在無線網(wǎng)絡(luò)中,用戶成功通過認證后,可以從RADIUS服務(wù)器獲取特定的網(wǎng)絡(luò)訪問模塊,并從中分配到用戶的IP。在無線用戶連接交換機并訪問企業(yè)網(wǎng)絡(luò)前,802.1x和EAP軟件提供了對無線設(shè)備和用戶的認證。另外,如果需要加密數(shù)據(jù),應(yīng)在無線客戶端和VPN集中器之間使用IPSee。小型網(wǎng)絡(luò)也許僅采用WEP對AP和無線客戶端之間的信息進行加密,而IPSee提供了更優(yōu)越的解決方案。Cisco Works的WLSE/RMS解決方案可以用來管理WLAN。同樣,在網(wǎng)絡(luò)邊界安裝入侵檢測設(shè)備,可以幫助檢測網(wǎng)絡(luò)通信,檢測對企業(yè)網(wǎng)絡(luò)的潛在攻擊。
IP語音網(wǎng)絡(luò)(VoIP)安全設(shè)計重點方向
VoIP與其他VPN網(wǎng)絡(luò)有相似的設(shè)計方法,也需要考慮與VPN網(wǎng)絡(luò)相似的因素。VoIP網(wǎng)絡(luò)的安全設(shè)計的重要方向應(yīng)該放在對身份的認證、訪問控制和VoIP的可用性方面。
目前多數(shù)IP電話只提供了對設(shè)備認證,而用戶認證方面正在發(fā)展中。Cisco H.323網(wǎng)關(guān)支持使用散列密碼的加密令牌來進行認證。加密令牌可以在VoIP網(wǎng)關(guān)和網(wǎng)守(gatekeeper)間的任何RAS消息中使用,可以用于認證消息的發(fā)送者。如果可能的話,我們應(yīng)當為用戶ID和密碼校驗使用不同的數(shù)據(jù)庫。注冊請求(RRQ)、取消注冊請求(URQ)、脫離請求(DRQ)以及終止方的請求(ARQ)中的加密令牌中含有產(chǎn)生該令牌的網(wǎng)關(guān)的相關(guān)信息,包括網(wǎng)關(guān)ID(即在網(wǎng)關(guān)上配置的H.323 ID)以及網(wǎng)關(guān)密碼。初始方ARQ消息的加密令牌包含了發(fā)起呼叫用戶的信息,包括用戶ID和PIN。該功能通過使用網(wǎng)關(guān)RAS消息中的認證密鑰提供了對發(fā)送者的驗證。網(wǎng)守使用該密鑰來認證消息的來源并保證通信的安全性。
由于動態(tài)實時傳輸協(xié)議及RTP控制協(xié)議(RTOP/RTCOP)的端口被語音電話的終端占用,所以防火墻可能會引起某種問題,除非它們可以識別聲音通信并動態(tài)的允許這種通信。在控制訪問中使用Cisco PIX安全防火墻,在使用時應(yīng)該注意兩點:一、如果防火墻代理安裝在未實施保護措施的防火墻外的網(wǎng)絡(luò),且有記錄路由功能,則允許訪問的IP地址列表應(yīng)該很小且是可管理的。地址列表是由外部SIP代理服務(wù)器的IP地址構(gòu)成的。以此獲得可控的安全性。二、外部用戶不能呼叫防火墻內(nèi)部的網(wǎng)絡(luò),除非這些用戶被明確允許。另外在VoIP網(wǎng)絡(luò)中提供訪問控制非常有用的Cisco IOS軟件的功能有支持SIP的防火墻、無令牌呼叫認證、為MGCP綁定特定網(wǎng)關(guān)接口和SIP綁定特定的網(wǎng)關(guān)接口。
VoIP網(wǎng)絡(luò)和其他網(wǎng)絡(luò)要求相似,需要最小的停機時間,甚至在遭受DoS攻擊時仍能提供通話服務(wù)。如果VoIP服務(wù)成為某個給定網(wǎng)絡(luò)環(huán)境下通信的關(guān)鍵性設(shè)施,那么在VoIP的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中不允許存在任何單點失效點。提供專門基于電話的冗余功能,SRS(Survivable Remote Site)電話功能結(jié)合本地網(wǎng)路上的路由和呼叫管理(Call Manager,CM)為IP電話提供了可靠的支持。當IP電話與遠程配置的主、二級或者第三級的CM失去連接或者WAN連接中斷時,該功能使用本地網(wǎng)絡(luò)的路由器來處理IP電話的呼叫。
總結(jié)
確保VPN、無線及VoIP網(wǎng)絡(luò)的安全時要考慮的各種因素以及相關(guān)的技術(shù)。同時利用有效的功能結(jié)合實際情況來配置高效安全的VPN、無線及VoIP網(wǎng)絡(luò)。無線和VoIP網(wǎng)絡(luò)的許多安全技術(shù)還在發(fā)展之中,應(yīng)該考慮在網(wǎng)絡(luò)中使用更新版本的軟件,以實現(xiàn)最新的安全功能。
ZDnet (www.zdnet.com.cn)