大型IP電話安全設計
2003/03/10
大型IP電話設計利用了SAFE中的大型網絡設計�。為了實現IP電話功能����,對SAFE設計進行了某些修改���,包括:
·為研發(fā)和營銷部門的數據網添加了基于PC的IP電話。
·為語音郵件系統(tǒng)增加了一個語音網��。
·為邊緣分布模塊添加了用于本地呼叫的PSTN��。
·提高了服務器模塊中呼叫處理網段的可用性����,并在前面增加了一對狀態(tài)防火墻。
·在與語音相關的所有服務中安裝了HIDS����。
·按照語音和相關網段中的流量對NIDS作了調整。
大型IP電話安全網絡主要包含的模塊有:大廈模塊���、企業(yè)服務器模塊���,每種模塊應包含的內容有:整體設計、訪問控制和包檢查���、性能和可擴展性��、高可用性����、安全管理����、其他設計方案。我們將分別進行描述�����。
大廈模塊
大廈模塊包括最終用戶工作站���、IP電話及其相關的第2層接入點��。其主要目標是為最終用戶提供服務��。
1.主要IP電話設備
·第2層交換機(支持VLAN)——這種交換機為數據和語音設備提供第2層服務�。
· 用戶工作站——用戶工作站通過基于PC的IP電話為網上的授權用戶提供數據服務和語音服務����。
·IP電話——IP電話為網上用戶提供語音服務。
2.保護語音安全的措施
· 包竊聽/呼叫截獲——交換式基礎設施能有效地預防竊聽��。
·病毒和特洛伊木馬應用——基于主機的病毒掃描能預防多數病毒和特洛伊木馬。
·非授權訪問——這種訪問可以通過HIDS和應用訪問控制有效消除���。
·呼叫者身份欺詐——向管理員通報未知設備����。
·話費欺詐——呼叫處理管理器不允許配置未知電話����,訪問控制只允許已知電話網相互通信。
·否認——呼叫處理管理器的呼叫設置記錄能提供某種防否認功能��。
·IP欺詐——RFC 2827和1918過濾器放置在ISP邊緣和本地防火墻路由器上��。
3.設計指南
大廈模塊的主要功能是交換數據和語音流量����,同時實施數據網和語音網之間的分離。這些功能通常由無狀態(tài)第3層過濾和VLAN執(zhí)行����,病毒掃描可以保護數據網上的用戶系統(tǒng)。
在交換機內��,VLAN功能是打開的,目的是防止從數據網對語音網發(fā)起攻擊��。無狀態(tài)第3層過濾能控制融合網絡方案中列出的流量�,任何非法流量都將遭到拒絕并記錄在案。病毒掃描的最初目的是防止從本地發(fā)起對用戶系統(tǒng)的攻擊����,現在還執(zhí)行對基于PC的IP電話的控制。病毒掃描安裝在用戶系統(tǒng)中��,以便防止對數據網上基于PC的IP電話發(fā)起的攻擊滲透到語音網上�。
原SAFE文檔中建議�,基于小組的過濾應該將同一IP網絡上的兩個部門分開。例如���,營銷和研發(fā)部門只能訪問自己的服務器���,但是,這種方法對IP電話不適用��。營銷部門的用戶應該可以通過IP電話呼叫研發(fā)部門的用戶��,但不能用基于PC的IP電話呼叫�。否則,就會違反基本過濾規(guī)則�����。
企業(yè)服務器模塊
服務器模塊的主要目標是向最終用戶和設備提供應用和語音服務。
1.主要IP電話設備
·第3層交換機——第3層交換機在服務器模塊內路由和交換數據�、語音和管理流量,并支持流量過濾和NIDS等先進服務����。
·公司服務器——公司服務器為內部用戶提供電子郵件和語音郵件服務,并為工作站提供文件��、打印和DNS服務�����。
·呼叫處理管理器——呼叫處理管理器為網絡中的IP電話設備提供語音服務��。
·狀態(tài)防火墻——狀態(tài)防火墻為呼叫處理器提供網絡級保護�����,包括對流量進行狀態(tài)過濾��、DoS預防和欺詐預防���。
·代理服務器——為IP電話提供數據服務�����。
2.保護語音安全的措施
·包竊聽/呼叫截獲——交換式基礎設施能有效地預防竊聽��。
·非授權訪問——這種訪問可以通過HIDS和應用訪問控制有效消除����。
·呼叫者身份欺詐——向管理員通報未知設備。
·話費欺詐——呼叫處理管理器不允許配置未知電話��,訪問控制只允許已知電話網相互通信���。
·否認——呼叫處理管理器的呼叫設置記錄能提供某種防否認功能。
·IP欺詐——IP欺詐在第3層交換機和狀態(tài)防火墻上提供RFC 2827和1918過濾器���。
·應用層攻擊——為操作系統(tǒng)���、設備和應用提供最新安全修復,多數服務器還受到HIDS的保護����。
·拒絕服務——將語音和數據網分開能顯著減少受攻擊的可能性。狀態(tài)防火墻TCP設置能控制保留給呼叫處理管理器和代理服務器的內容。
·信任關系利用——通過有限信任模式和專用VLAN預防基于信任關系的攻擊��。
3.設計指南
服務器模型包括IP電話所需的所有語音服務���。駐留在分離網段中的呼叫處理管理器�����、代理服務器���、語音郵件和郵件系統(tǒng)不但能適應大型企業(yè)的需要,還能提供分層安全性����。所有服務都安裝了HIDS代理,服務器模塊中的所有流量都接受第3層交換機IDS的檢查��,呼叫處理網段受到狀態(tài)防火墻保護�����。
服務分離能大大提高可擴展性和安全性����。并減少出現配置錯誤的機會����。任何其他流量都將遭到拒絕并記錄在案��,如果NIDS探測到異常情況����,系統(tǒng)將借助原理章節(jié)中列出的說明發(fā)出警報。HIDS能夠探測到郵件���、語音郵件或呼叫處理設備中的異常情況���。代理服務器與呼叫處理管理器處于同一個VLAN上,但專用VLAN用于防止本地信任關系利用攻擊����。
限制擴展能力的是呼叫處理管理器和語音郵件系統(tǒng)支持的IP電話設備的數量�。在這種設計中,性能不是問題����,因為所有必要的服務都在本地的快速以太網交換網上提供,只有通過WAN使用本地服務的某些遠程站點例外�。
這個模塊也提供第2層和第3層彈性配置���。添加語音服務后實現了高可用性。兩個狀態(tài)防火墻將受保護的呼叫處理管理器網段與服務器模塊中的兩臺第3層交換機連接在一起����。內部網段的第2層彈性不但表現在防火墻的內部接口與兩臺第2層交換機之間,還表現在雙接口呼叫處理器上�。在這種配置中,每個呼叫處理管理器都使用兩塊網絡接口卡�,這兩塊接口卡處在同一個網絡中,各與一臺交換機相連�����。
對于IP電話�,所有語音服務器都應該支持多個接口。語音服務是網絡的關鍵組件�,限制對語音服務的訪問是預防攻擊的關鍵。這種設計使用了第3層和第4層過濾����,以便限制已知管理系統(tǒng)對語音服務器的管理。應用級安全性用于為管理流量提供保密和用戶認證�。
還有一種選擇是將其他DMA網段的語音郵件系統(tǒng)放置在狀態(tài)防火墻上。這種設置能夠在電話設備和語音郵件系統(tǒng)之間執(zhí)行狀態(tài)檢查和過濾���,而不是使用目前的無狀態(tài)過濾��。這種方法還能為語音郵件系統(tǒng)提供DoS預防�����,并在它與數據網中的郵件服務器之間提供狀態(tài)檢查��。這種方法的唯一缺點是增加了配置的復雜性��。
網絡世界(cnw.ccw.com.cn)