IP電話與SAFE
——IP電話安全性分析
2003/02/26
設(shè)計(jì)原則
SAFE IP電話首先必須提供IP電話服務(wù)��。其次,一方面它必須盡可能多地包含傳統(tǒng)電話的特性�,另一方面必須提高安全性�����。最后�����,它必須以SAFE安全體系結(jié)構(gòu)為基礎(chǔ)���,與現(xiàn)有網(wǎng)絡(luò)設(shè)計(jì)集成在一起��,而且不能與現(xiàn)有功能相沖突。在決策過程中��,應(yīng)該考慮以下設(shè)計(jì)目標(biāo)(按優(yōu)先順序排序):按照政策提高安全性和防止攻擊;
服務(wù)質(zhì)量; 可靠性、性能和可擴(kuò)展性; 用戶和設(shè)備(身份)認(rèn)證; 高可用性選項(xiàng)(某些設(shè)計(jì)); 安全管理��。
如果想用IP網(wǎng)絡(luò)打電話�����,必須消除基于IP的威脅����。與傳統(tǒng)數(shù)據(jù)網(wǎng)相比,必須保證在緊急情況下���,成千上萬部IP電話都能隨時(shí)撥通緊急服務(wù)電話(例如911)�。另外由于設(shè)備發(fā)生故障或惡意攻擊都會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行���。思科將介紹幾種技術(shù)用于消除這些威脅�����。
在各種設(shè)計(jì)方案中可能需要用多種模塊�,每種設(shè)計(jì)或模塊應(yīng)包含的內(nèi)容有:整體設(shè)計(jì)��、訪問控制和包檢查����、性能和可擴(kuò)展性�����、高可用性�����、安全管理�、其他設(shè)計(jì)方案����。
影響SAFE IP電話設(shè)計(jì)的重要因素
雖然不同規(guī)模企業(yè)的IP電話設(shè)計(jì)大不相同,但面臨的基本問題幾乎相同�����。因此���,影響SAFE IP電話設(shè)計(jì)的重要因素比較相似����。
1.語音網(wǎng)絡(luò)是被攻擊的目標(biāo):語音網(wǎng)絡(luò)的主要問題在于它們是開放的����,無需或只需少量認(rèn)證就能獲準(zhǔn)進(jìn)入。因此����,語音網(wǎng)絡(luò)成為黑客的攻擊目標(biāo)。例如有些人喜歡搞惡作劇���,以人力資源的口氣向公司的所有成員發(fā)一封語音郵件����,宣布放假一天�。有些人則喜歡訪問首席財(cái)務(wù)官的語音信箱。更有甚者�,有些人還喜歡竊聽與客戶的通話,甚至將通話內(nèi)容透露給競爭對(duì)手�����。這些情況都已經(jīng)在IP數(shù)據(jù)網(wǎng)中發(fā)生過�,IP語音網(wǎng)絡(luò)也不可幸免,因此語音網(wǎng)必須采取措施提高安全性��。
2.?dāng)?shù)據(jù)和語音網(wǎng)必須分離:基于IP的電話能夠通過現(xiàn)有的IP數(shù)據(jù)網(wǎng)撥打電話��。但是,由于QoS�、可擴(kuò)展性、可管理性和安全性等因素�����,IP電話和IP數(shù)據(jù)設(shè)備應(yīng)該部署在兩個(gè)邏輯上獨(dú)立的網(wǎng)段中�。將IP語音與傳統(tǒng)IP數(shù)據(jù)網(wǎng)分離將能大大提高抗攻擊能力。
雖然網(wǎng)段應(yīng)該分離�����,但思科并不建議部署兩個(gè)IP基礎(chǔ)設(shè)施���。VLAN����、訪問控制和狀態(tài)防火墻等技術(shù)可以提供必要的第3層分段���,以便使語音網(wǎng)和數(shù)據(jù)網(wǎng)在接入層分離���。
3.終端設(shè)備是薄弱環(huán)節(jié):IP電話的終端設(shè)備主要有三種形式,普通電話、IP電話和基于PC的IP電話�。各種終端設(shè)備都有不同的安全特性。
A.普通電話設(shè)備需要防止竊聽����。在基于普通電話的IP電話系統(tǒng)中,如果能將網(wǎng)段分開�����,可阻止數(shù)據(jù)網(wǎng)中的設(shè)備竊聽語音網(wǎng)中的會(huì)話�����。將數(shù)據(jù)網(wǎng)和語音網(wǎng)的交換式基礎(chǔ)設(shè)施結(jié)合在一起����,能夠有效防止電話竊聽�����。
但是��,值得注意的是����,如果黑客能接入本地交換網(wǎng)��,就可能用盜來的MAC地址�����,獲得目標(biāo)電話的身份���,然后截獲通話內(nèi)容。
B.IP電話應(yīng)遵守?cái)?shù)據(jù)/語音分離準(zhǔn)則���。許多IP電話都支持一個(gè)數(shù)據(jù)端口�,以便將PC與電話連接在一起����,這種方式應(yīng)遵守?cái)?shù)據(jù)/語音分離準(zhǔn)則。某些類型IP電話只提供基本的第2層連接����,即IP電話實(shí)際上是作為集線器,安全特性相對(duì)較差���。某些類型IP電話提供增強(qiáng)的第2層連接���,而且可以利用802.1q等VLAN技術(shù)將電話和數(shù)據(jù)端口放置在兩個(gè)不同的VLAN中����。這種體系結(jié)構(gòu)能將數(shù)據(jù)和語音網(wǎng)分開�����。
C.基于PC的IP電話易遭攻擊���。由于有多個(gè)矢量進(jìn)入系統(tǒng),因此基于PC的IP電話更容易受到攻擊����。這些矢量包括操作系統(tǒng)(OS)易損性、應(yīng)用易損性����、服務(wù)易損性、蠕蟲�、病毒等。由于基于PC的IP電話駐留在數(shù)據(jù)網(wǎng)中��,因此����,它還容易受到面向整個(gè)網(wǎng)絡(luò)的攻擊�����。
重要實(shí)施策略
1.合理放置防火墻����,有效控制語音—數(shù)據(jù)網(wǎng)段交互:只有適當(dāng)控制數(shù)據(jù)和語音網(wǎng)之間的訪問才能部署安全的IP電話網(wǎng)���。要實(shí)現(xiàn)這一任務(wù)�,應(yīng)該使用狀態(tài)防火墻�����,因?yàn)樗芴峁┗谥鳈C(jī)的DoS保護(hù)�,防止連接短缺和分段攻擊;在合理和必要的地方���,還通過防火墻提供每端口接入�、反竊聽和常規(guī)過濾等功能�。思科并不提倡在所有網(wǎng)段之間放置狀態(tài)防火墻。相反�,需要在特殊網(wǎng)絡(luò)位置放置狀態(tài)防火墻�。防火墻將負(fù)責(zé)以下連接:
● 放置在數(shù)據(jù)網(wǎng)段中��,保護(hù)語音網(wǎng)中的語音郵件系統(tǒng)安全�����。
● 放置在語音網(wǎng)段中�,為呼叫建立控制,并配置與數(shù)據(jù)網(wǎng)中呼叫處理管理器相連的IP電話��。
● 放置在語音網(wǎng)段中���,隔離放置在數(shù)據(jù)網(wǎng)段中與語音郵件系統(tǒng)連接的IP電話�。
● 放置在語音網(wǎng)段中�,通過語音網(wǎng)中的代理服務(wù)器瀏覽IP電話資源——包括員工用戶目錄等���。
● 放置在數(shù)據(jù)網(wǎng)段中�,保證IP電話用戶能夠修改電話的配置��。
● 處于語音網(wǎng)段中��,數(shù)據(jù)網(wǎng)的代理服務(wù)器——服務(wù)器代理IP電話服務(wù)發(fā)出的所有請(qǐng)求�����。
基于PC的IP電話還會(huì)存在以下兩種連接:
● 數(shù)據(jù)網(wǎng)段中的IP電話訪問語音網(wǎng)段中的呼叫處理管理器,以便建立呼叫���。
● 數(shù)據(jù)網(wǎng)段中的IP電話訪問語音網(wǎng)段中的語音郵件系統(tǒng)�。
如果IP電話設(shè)備使用專用地址空間����,例如RFC 1918提供的地址空間,可以降低流量到達(dá)網(wǎng)絡(luò)外部的可能性����。這樣,網(wǎng)絡(luò)外部的黑客就無法發(fā)現(xiàn)語音網(wǎng)中的漏洞����。如果可能,應(yīng)該盡量在數(shù)據(jù)和語音網(wǎng)中使用不同的RFC
1918地址空間�,以便進(jìn)行過濾和識(shí)別。雖然在所有設(shè)計(jì)中都將狀態(tài)防火墻作為呼叫處理管理器的前端�,但NAT對(duì)語音網(wǎng)內(nèi)傳輸?shù)牧髁坎黄鹱饔谩T谒性O(shè)計(jì)中�����,NAT都應(yīng)在數(shù)據(jù)網(wǎng)和語音網(wǎng)之間,以便通過代理服務(wù)器支持IP電話服務(wù)����。
2.建立身份識(shí)別機(jī)制:應(yīng)盡可能多地使用用戶和設(shè)備認(rèn)證機(jī)制,這樣能阻止對(duì)IP電話網(wǎng)發(fā)起的許多攻擊�。IP電話設(shè)備的認(rèn)證方法主要是MAC地址設(shè)置。用戶認(rèn)證能更加有效防止設(shè)備盜竊MAC地址�,并假冒其目標(biāo)身份作案。
用戶名/密碼/PIN組合還可以用于識(shí)別訪問呼叫處理管理器的用戶����,用戶能夠在獲得成功認(rèn)證之后訪問其定制的配置設(shè)置。某些語音郵件系統(tǒng)還支持雙因素認(rèn)證����。在這種情況下,用戶必須通過嚴(yán)格的認(rèn)證才能修改其定制設(shè)置或者聽取語音郵件�����。
3.有效防止設(shè)備偷接:無論在哪種IP網(wǎng)絡(luò)中都應(yīng)該防止偷接設(shè)備插入網(wǎng)絡(luò)�。鎖定網(wǎng)絡(luò)中的交換端口�、網(wǎng)段和服務(wù)將可防止設(shè)備偷接。下面的四個(gè)策略能夠有效防止設(shè)備偷接����。
首先���,由于動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)一般都用于部署可擴(kuò)展的IP電話,因此�,可以為已知MAC地址分配IP地址,防止未知設(shè)備獲取地址����。
其次,許多呼叫處理管理器都提供自動(dòng)電話注冊(cè)特性�,以便為未知電話提供臨時(shí)配置,在日常工作中應(yīng)該關(guān)閉這個(gè)功能��,以減少設(shè)備偷接機(jī)會(huì)���。
第三�����,可以在語音網(wǎng)絡(luò)中使用Arpwatch等工具監(jiān)控MAC地址�����。與數(shù)據(jù)網(wǎng)段相比�,MAC地址更有可能是靜態(tài)的,Arpwatch將跟蹤語音網(wǎng)段中所有設(shè)備的MAC地址�����。
最后����,在所有網(wǎng)段中設(shè)置過濾功能。
4.保護(hù)和監(jiān)控所有語音服務(wù)器和網(wǎng)段:對(duì)語音網(wǎng)中的語音服務(wù)器應(yīng)該采取相應(yīng)的保護(hù)措施�����。網(wǎng)絡(luò)入侵探測系統(tǒng)(NIDS)是一種強(qiáng)大的工具�����,目前�,NIDS不提供語音控制協(xié)議攻擊簽名。為探測從數(shù)據(jù)網(wǎng)發(fā)起的對(duì)HTTP用戶設(shè)備的攻擊��,應(yīng)該將NIDS部署在呼叫處理管理器的前面�����。如果想探測對(duì)語音網(wǎng)的DoS攻擊��,應(yīng)該將NIDS部署在語音和數(shù)據(jù)網(wǎng)之間����。
除監(jiān)控特性外,NIDS還提供兩個(gè)特性���。如果探測到網(wǎng)段上有攻擊特征�,它可以打開回避功能�,并修改網(wǎng)絡(luò)設(shè)備的3層地址配置,以刪除此網(wǎng)段上的所有其他流量���。它的復(fù)位功能可用于撤消這些操作�。
語音郵件和呼叫處理管理器正確的操作包括:關(guān)閉所有不需要的服務(wù)�,及時(shí)為OS和服務(wù)補(bǔ)充最新的安全補(bǔ)丁,強(qiáng)化OS配置��,關(guān)閉語音服務(wù)器上不用的特性����,以及不在服務(wù)器上運(yùn)行不必要的應(yīng)用(例如電子郵件客戶機(jī)軟件)等。建議安裝基于主機(jī)的IDS(HIDS)���。由于語音服務(wù)器的目標(biāo)值高���,而且核查安全的時(shí)間長����,
HIDS能夠立即�、有效地防止攻擊。如果呼叫處理管理器不支持HIDS�����,則應(yīng)該在數(shù)據(jù)網(wǎng)段中的郵件服務(wù)器上安裝HIDS���。語音服務(wù)器可以運(yùn)行分布在多臺(tái)設(shè)備上的多種服務(wù)��,應(yīng)當(dāng)利用這個(gè)特性提高安全性����。語音服務(wù)器還支持多種管理方法��,包括HTTP��、SSL和SNMP等協(xié)議�����。
網(wǎng)絡(luò)世界(cnw.ccw.com.cn)