VoIP也安全
來源:互聯網
上載者:User
關鍵字
安全
VOIP
如果實現VoIP,安全是個需要考慮的重要事項,因為VoIP中的每一節點都像電腦一樣是可訪問的。 當遭受DoS攻擊、駭客入侵時,VoIP通常會導致發生未經授權的免費呼叫、呼叫竊聽和惡意呼叫重定向等問題。 針對諸多問題,大力推崇VoIP的思科是如何解決的? 如果實現VoIP,安全是個需要考慮的重要事項,因為VoIP中的每一節點都像電腦一樣是可訪問的。 當遭受DoS攻擊、駭客入侵時,VoIP通常會導致發生未經授權的免費呼叫、呼叫竊聽和惡意呼叫重定向等問題。 針對諸多問題,大力推崇VoIP的思科是如何解決的? Cisco精心打造的IP-telephony package可以說是整個Cisco網路安全防禦系統裝置中最安全的一個。 測試也表明,通過這種方法建立的VoIP網路能有效抵禦熟練駭客的攻擊,其拓撲明顯要優於許多使用者現在部署的安全選項,但美中不足的是,構建這樣的系統確實有點價格不菲。 在這樣一個系統中,可選的元件包括:兩個獨立的PIX防火牆、另一個位於backbone Catalyst 6500刀片上的防火牆、在6500中的一個IDS刀片、一個完全獨立的管理子網和不同安全的管理應用系統。 防火牆和IDS部件的價格共計約64萬元。 防火牆為桌面帶來了許多實用性很強而且具有高安全級別的特性:一個是信任方-不信任方的概念(不信任方介面總是指向駭客);另一個是協定理解,即只有要求VoIP的特定協定才被允許,且請求和回應只能在正確的方向才能通過。 本測試中還包括其他一些防火牆特性,例如:VoIP呼叫控制檢查(Stateful inspection of VoIP Call Controll)、網路位址解析(networks address resolution)、 通過防火牆的通道呼叫控制、TCP截取(TCP intercept,他可確保TCP連接的順利完成,還能防止呼叫管理器上的DoS攻擊,以及對Secure SCCP的支援)。 作為Cisco IP-telephony package的核心所在,呼叫管理器4.0版可處理呼叫控制,還包括一些其他新的安全相關特性。 其中最關鍵之處是VoIP加密,本次測試中語音流(RTP,即時傳輸協議)加密僅僅在Cisco最新的7970 IP phone sets上得到支援。 而基於Windows 2000作業系統的最新呼叫管理器已呈現逐步硬化的趨勢。 另外,還有一系列強大的網路自防禦特徵也包括在本次被測試的Catalyst IOS版本中,尤其是放在core Catalyst 6500上的IOS 12.2(17b)sxa,和access Catalyst 4500上的IOS 12.1(20)ew等, 所有這些功能作為安全防禦的先鋒,較之其他任何Cisco拓撲中的元件,均有效地阻止了攻擊隊伍的行動,主要還包括:流量員警(police)和committed access rate,對於阻擋攻擊隊伍的DoS攻擊十分成功 ;第二層埠安全,他可嚴格限制一個埠中MAC位址的數量;第二層DHCP偵聽(Dynamic Host Configuration Protocol,動態主機設定通訊協定),他可有效阻止動態主機設定通訊協定的連續攻擊 ;動態位址解析協定檢查,他能中止ARP(位址解析協定)感染病毒和對ARP的偵聽攻擊,同時還能抵禦攻擊隊伍大量更隱蔽的攻擊;IP源位址保護(IP Source Guard),他能防止偽裝攻擊;VLAN存取控制清單, 可限制到達IP電話的流量等。 CSA(Cisco Security Agent,Cisco安全代理)是另一個基於主機的防止入侵系統(IPS,intrusion-prevention system),現在作為呼叫管理器IP電話語音器中集成的一個安全性群組件, 也出現在Cisco的統一語音郵件伺服器(Unity voice mail server),和其他所有貫穿Cisco網路拓撲的Win 2000伺服器中。 Cisco有效的安全措施幾乎應用在了全部層上:第二和第三層(Catalyst系列交換器),第四和第五層(防火牆和IPS),第六層(RTP語音加密流,目前仍僅限於某些電話),和第七層(基於伺服器的軟體,如Cisco Security Agent等)。 經過評測部門組織的三天的測試攻擊,攻擊隊伍在電話通信中沒有發現明顯的干擾,Cisco VoIP系統的安全性基本經受住了考驗,但也存在幾個瑕疵:首先,駭客隊伍很容易就能在一個IP電話基站連接鏈路中插入一個攔截器, 從這個有利的位置他們能觀察收集到全部的流量資訊細節,如協定,位址,甚至捕捉到RTP,而這是一種運行在UDP上,並承載全部VoIP系統上中語音樣本的VoIP協定。 雖然流入/出VoIP Cisco 7970電話的流量是經過加密的128位資料,但攻擊隊伍很容易獲取;其次,利用放置的攔截器所收集到的網路資訊,駭客能插入他們自己的電腦,因而能進一步訪問語音虛擬LAN,並向其他VLAN中的設備發送流量,但他們不能偽裝成某個IP電話或IP電話的呼叫。 最後,儘管這是一個跨越多層平臺的有效的安全性原則,但所有這些安全部件之間細微的相互關聯和正確的安裝是非常令人頭疼的,如果將Cisco配置的防火牆其雙向都不允許通過流量,這或許很安全,但並不實用。 任何不當或不正確的設置,既便是最好的安全性原則也會受到影響。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=214 src="/files/uploadimg/20060121/1105470. jpg" width=379> Cisco VoIP系統拓撲圖 相關連結VoIP安全級別:作為網路系統管理員可能經常要面對諸如此類的問題:「你的IP電話(IP telephony)網路能防止駭客的攻擊嗎? 」可能大多數答案都是肯定的,但這個肯定主要取決於網路所使用的是哪個廠商的IP PBX。 因此更重要的是是否制定了周密的網路安全計畫、網路和個人資源戰略,以及額外的安全設備方面,投入資金和時間等。 下表是對幾種安全級別的定義。 (責任編輯:zhaohb) 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文:VoIP也安全 返回網路安全首頁
