首頁>>>技術(shù)>>>VoIP

穿越VoIP安全“雷區(qū)”

從容 譯 2007/12/12

  最近聽到越來越多的局域網(wǎng)上的新型攻擊,諸如IP語音電話攻擊或利用打印機作為攻擊源的攻擊。那么,局域網(wǎng)安全如何防止此類情況的發(fā)生呢?

  毋庸置疑的是,此類攻擊正在上升。事實上,美國計算機安全組織系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(SANS Institute)最近已把這些客戶端攻擊列為最關(guān)鍵的安全隱患。雖然對于我們所有人來講,認為完全杜絕此類攻擊是愚魯?shù),不過,我們?nèi)匀豢梢赃x擇強有力的辦法來減少此類攻擊。

  首先采取的步驟是,在一個包含眾多設(shè)備及用戶的局域網(wǎng)內(nèi)實施一個認證方案。如果一直采用的是802.1X協(xié)議的話,僅僅這樣做是不夠的,因為電話、打印機、醫(yī)療設(shè)備,機器人等大部分的其他設(shè)備無法支持該協(xié)議。這就需要一個途徑,確保你所知的每一個非用戶設(shè)備都連接在網(wǎng)絡(luò)上并了解此設(shè)備的類型。需要尋求一個認證方法,使得每一個具體已知設(shè)備都列入認證名單。如能利用反向域名解析(reverse DNS)來關(guān)聯(lián)設(shè)備名稱和類型從而自動識別這些設(shè)備那將更加完美。

  接下來,需要給非用戶設(shè)備設(shè)置角色并分配權(quán)限。舉例說明,可以在你的網(wǎng)絡(luò)中定義一個適用于所有打印機和打印服務(wù)器的角色,至于訪問權(quán)限,可以指定打印機只能和打印服務(wù)器通信,而其他用戶設(shè)備也只能和打印服務(wù)器通信。(打印機和其他設(shè)備之間沒有通信權(quán)限)

  同樣,在VoIP方面,可以賦予VoIP電話以VoIP的角色,并定義這些電話只與網(wǎng)絡(luò)電話管理員(call manager)通信。你甚至可以超越這種基于應(yīng)用策略的分區(qū)保護模式。例如,可將扮演VoIP角色的設(shè)備只在SIP, H.323, 或是 SKINNY協(xié)議下通信,從而進一步防范基于數(shù)據(jù)的攻擊。此種分區(qū)機制非常有助于防止電話,打印機或是其他設(shè)備發(fā)起的攻擊。例如,一個裝有漏洞掃描軟件且處于險境的打印機,無法接觸任何網(wǎng)絡(luò)設(shè)備找到公共端口。同樣,一個VoIP電話也無法對其他服務(wù)器或是用戶終端發(fā)起攻擊,在應(yīng)用保護的情況下,它甚至無法攻擊使用數(shù)據(jù)協(xié)議的網(wǎng)絡(luò)電話管理員。

  有兩種選擇可以實現(xiàn)這樣的局域網(wǎng)安全保障。一種是使用新一代的局域網(wǎng)交換機,這種交換機在認證方面優(yōu)于802.1X,具備對用戶和設(shè)備基于應(yīng)用策略的訪問控制能力,選用這種方式組網(wǎng),網(wǎng)絡(luò)便直接獲得了這種能力。如不考慮升級交換機,則考慮具備認證用戶和設(shè)備能力的安全應(yīng)用程序,且要能夠自動設(shè)定角色并通過分區(qū)和申請?zhí)峁┗趹?yīng)用策略的訪問控制。

  無論選擇訪問交換機還是應(yīng)用程序,最關(guān)鍵的是在局域網(wǎng)的周邊提供恰當(dāng)?shù)?保護,這個位置對于減少客戶端的攻擊至關(guān)重要。否則,一旦攻擊開始你將沒有任何工具能夠阻止。

IT專家網(wǎng)


相關(guān)鏈接:
基于H.323協(xié)議的VoIP安全問題探討 2007-12-11
五大提供托管VoIP服務(wù)的理由 2007-12-11
SkypePhone永不會登陸中國 飛信是voip電話主力 2007-12-10
VoIP網(wǎng)絡(luò)電話改變了傳統(tǒng)語音通信 2007-12-06
微軟入侵通信市場 VoIP為尖兵 2007-12-06

分類信息: