確保VPN、無線網(wǎng)及VoIP網(wǎng)絡(luò)的安全
2009/01/09
運(yùn)用各種技術(shù)�,針對基于硬件的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上構(gòu)建的VPN、無線網(wǎng)絡(luò)和VoIP網(wǎng)絡(luò)�,全面地提供安全性設(shè)計(jì)時(shí)需要考慮的事項(xiàng)���。由于安全設(shè)計(jì)所使用的硬件產(chǎn)品多種多樣�����,并且根據(jù)硬件產(chǎn)品及其應(yīng)用軟件版本的不同����,命令語法也有差異����,所以提供具體的配置說明。
VPN完整性���、機(jī)密性和可用性
VPN用來在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的��,端到端的專用網(wǎng)絡(luò)連接����。VPN技術(shù)并不是天然就具備安全性。不論任何VPN網(wǎng)絡(luò)����,只有采用了適當(dāng)?shù)陌踩刂撇呗圆欧Q得上是安全的VPN網(wǎng)絡(luò)。采用何種方式創(chuàng)建安全的VPN網(wǎng)絡(luò)����,很大程度上決定于采用的安全策略。VPN的安全策略與一般的安全策略即使不完全一致��,也十分相似����,因而人們首先考慮的問題類似于企業(yè)的一般的安全策略所面臨的問題���。需要對企業(yè)安全策略重新進(jìn)行審視����,以決定是否需要針對企業(yè)中的VPN用戶作特殊的考慮和修改。需要確保所采用的安全機(jī)制的有效性(從管理者的角度)與其所提供的安全性之間取得一定的平衡����。在制定VPN的安全策略時(shí),應(yīng)重點(diǎn)針對VPN完整性��、機(jī)密性和可用性方面考慮�����。
在這里的完整性是指對通信數(shù)據(jù)進(jìn)行校驗(yàn)�,以確保傳輸過程中沒有被改變并且經(jīng)過認(rèn)證,IPSee本身提供了這種功能�����。在使用NAT的環(huán)境下�,如果IP地址被包含在完整性檢查的內(nèi)容中,就會(huì)出現(xiàn)問題:我們通常采用這樣的機(jī)制�����,IP地址不作為完整性檢查內(nèi)容的一部分��。例如����,在IPSee中�,認(rèn)證頭部信息(AH)很少被用來進(jìn)行完整性檢查���。相反����,ESP通常和MD5或SHAI一起使用����,提供對于數(shù)據(jù)包的完整性檢查,并且對于使用了隧道模式的網(wǎng)絡(luò)��,通常是檢查原始的首部而不是外部的IP首部��。
如果一個(gè)IP地址偽裝成VPN類型的通信�����,一般這種通信都會(huì)導(dǎo)致有線的拒絕服務(wù)(DoS)攻擊并占用有限的資源�����。大多數(shù)情況下���,都假定IP地址是可信的����,而且采用其他機(jī)制來防止?jié)撛诘腄oS攻擊����。
安全的VPN網(wǎng)絡(luò)總是要求對某些數(shù)據(jù)進(jìn)行進(jìn)行加密。你必須認(rèn)真地選擇需要被加密的通信數(shù)據(jù)�����,因?yàn)榉⻊?wù)器的處理能力是有限的���。通常的做法是加密所有通往某一特定地址的通信數(shù)據(jù)��,或者僅加密某個(gè)特定應(yīng)用的數(shù)據(jù)�����。通常 使用IPSee對通信進(jìn)行加密��。L2TP可以使用PPP加密���,但是這是一種較為脆弱的加密方式�����,因此�,L2TP往往與IPSee一起使用來提供機(jī)密性服務(wù)���。注意在一般情況下��,用戶需要修改PC/主機(jī)一方的最大通信單元(MTU)��,以避免接收設(shè)備無法處理的過大數(shù)據(jù)包����。如果這種操作必要��,則調(diào)整數(shù)據(jù)包的最大尺寸�����,保證它不超過未經(jīng)加密的以太網(wǎng)數(shù)據(jù)包的標(biāo)準(zhǔn)大小(1400字節(jié))��,VPN應(yīng)用一般都提供了定制MTU大小的選項(xiàng)�����。
VPN網(wǎng)絡(luò)有著與其他網(wǎng)絡(luò)相同的需要,這就是要求最少的停機(jī)時(shí)間���������?捎眯允侵冈试S適當(dāng)?shù)娜哂��,并且在受到攻擊時(shí)有能力繼續(xù)傳送數(shù)據(jù)包��。設(shè)置多大的冗余要依據(jù)風(fēng)險(xiǎn)評估的結(jié)果而定��。請注意����,保護(hù)信息的費(fèi)用遠(yuǎn)超過使用信息的價(jià)值時(shí),就不需要過分地保護(hù)網(wǎng)絡(luò)設(shè)備或者信息���。小型的公司可能沒有足夠的資金來購買冗余設(shè)備�,而大型公司應(yīng)該在所有關(guān)鍵的VPN結(jié)構(gòu)中提供冗余設(shè)備���。對于所有冗余設(shè)備�����,應(yīng)該將配置為在某個(gè)連接或設(shè)備出現(xiàn)故障時(shí)自動(dòng)提供服務(wù)��。
無線網(wǎng)絡(luò)整體設(shè)計(jì)及配置思路
要實(shí)現(xiàn)安全的無線網(wǎng)絡(luò)�,用戶需要采用與VPN網(wǎng)絡(luò)相同的設(shè)計(jì)方法。多數(shù)情況下���,無線網(wǎng)絡(luò)實(shí)際上是遠(yuǎn)處訪問VPN的一部分���。下面不再重復(fù)與VPN相關(guān)的討論,只介紹與無線訪問相關(guān)的特性和配置思路�����。
無線LAN的身份功能��,包括認(rèn)證和訪問控制功能�。使用EAP進(jìn)行認(rèn)證的802.1x標(biāo)準(zhǔn)獲取了廣泛的認(rèn)同,應(yīng)當(dāng)考慮與AAA機(jī)制聯(lián)合提供身份保護(hù)���。通過使用WEP或TKIP��,無線網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性��。由于WEP的功能有限�,實(shí)施無線網(wǎng)絡(luò)時(shí)最好有關(guān)于無線AP和客戶端的最新軟件來應(yīng)用TKIP。WEP提供了機(jī)密性����,但是該算法很容易被破解����。而TKIP使用了更強(qiáng)的加密規(guī)則,可以提供更好的通信機(jī)密性���。另外�,一些實(shí)際應(yīng)用可能會(huì)考慮采用IPSee ESP來提供一個(gè)安全的VPN隧道��。
無線網(wǎng)絡(luò)有著與其他網(wǎng)絡(luò)相同的需要�����,就是要求最少的停機(jī)時(shí)間�����。不管是由于DoS攻擊還是設(shè)備故障,無線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無線客戶端訪問����。保證這項(xiàng)功能所花費(fèi)資源的多少主要取決于保證無線網(wǎng)絡(luò)在房屋內(nèi)正常運(yùn)行的重要性。有些時(shí)候�,比如在機(jī)場休息室或咖啡廳,不能給用戶提供訪問只會(huì)給用戶帶來一點(diǎn)不方便�。而一些公司越來越依賴于無線訪問進(jìn)行商業(yè)運(yùn)行,以此需要提供更富有彈性的服務(wù)來避免網(wǎng)絡(luò)癱瘓的情況發(fā)生����。除了冗余的特性,如負(fù)載平衡和熱備用�����,無線網(wǎng)絡(luò)還有更多的可用性問題需要考慮��,主要是關(guān)于信號(hào)強(qiáng)度的損失以及相關(guān)訪問點(diǎn)(AP)的連通性丟失等問題���。通過迅速與另一個(gè)訪問點(diǎn)重新建立安全的連接��,可以減少丟失的會(huì)話��,可以很大程度地提高可用性����。
審計(jì)工作是確定無線網(wǎng)絡(luò)配置是否適當(dāng)?shù)谋匾襟E。如果對通信數(shù)據(jù)進(jìn)行加密��,則不要只依賴計(jì)數(shù)器來現(xiàn)實(shí)通信數(shù)據(jù)正在被加密�。就像在VPN網(wǎng)絡(luò)中一樣,應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來檢查通信的機(jī)密性����,并保證任何有意無意嗅探網(wǎng)絡(luò)的用戶不能看到通信的內(nèi)容。為了實(shí)現(xiàn)對網(wǎng)絡(luò)的審計(jì)����,網(wǎng)絡(luò)管理員需要一整套方法來配置���、收集��、存儲(chǔ)和檢索網(wǎng)絡(luò)中所有AP及網(wǎng)橋的信息���。網(wǎng)絡(luò)管理者必須有能力配置AP和網(wǎng)橋,監(jiān)控?zé)o線局域網(wǎng)(WLAN)設(shè)施的性能和可用性��,并生成容量計(jì)劃和客戶追蹤報(bào)告���。能夠同時(shí)對多個(gè)AP上的軟件進(jìn)行升級或降低也是很重要的���。
一個(gè)典型的安全無線網(wǎng)絡(luò)�����,實(shí)際上是對遠(yuǎn)程訪問VPN的擴(kuò)展�,在無線網(wǎng)絡(luò)中�����,用戶成功通過認(rèn)證后�,可以從RADIUS服務(wù)器獲取特定的網(wǎng)絡(luò)訪問模塊,并從中分配到用戶的IP�。在無線用戶連接交換機(jī)并訪問企業(yè)網(wǎng)絡(luò)前,802.1x和EAP軟件提供了對無線設(shè)備和用戶的認(rèn)證��。另外�����,如果需要加密數(shù)據(jù)�,應(yīng)在無線客戶端和VPN集中器之間使用IPSee。小型網(wǎng)絡(luò)也許僅采用WEP對AP和無線客戶端之間的信息進(jìn)行加密����,而IPSee提供了更優(yōu)越的解決方案�����。Cisco Works的WLSE/RMS解決方案可以用來管理WLAN�����。同樣�����,在網(wǎng)絡(luò)邊界安裝入侵檢測設(shè)備���,可以幫助檢測網(wǎng)絡(luò)通信���,檢測對企業(yè)網(wǎng)絡(luò)的潛在攻擊��。
IP語音網(wǎng)絡(luò)(VoIP)安全設(shè)計(jì)重點(diǎn)方向
VoIP與其他VPN網(wǎng)絡(luò)有相似的設(shè)計(jì)方法��,也需要考慮與VPN網(wǎng)絡(luò)相似的因素����。VoIP網(wǎng)絡(luò)的安全設(shè)計(jì)的重要方向應(yīng)該放在對身份的認(rèn)證、訪問控制和VoIP的可用性方面��。
目前多數(shù)IP電話只提供了對設(shè)備認(rèn)證���,而用戶認(rèn)證方面正在發(fā)展中���。Cisco H.323網(wǎng)關(guān)支持使用散列密碼的加密令牌來進(jìn)行認(rèn)證。加密令牌可以在VoIP網(wǎng)關(guān)和網(wǎng)守(gatekeeper)間的任何RAS消息中使用����,可以用于認(rèn)證消息的發(fā)送者。如果可能的話����,我們應(yīng)當(dāng)為用戶ID和密碼校驗(yàn)使用不同的數(shù)據(jù)庫。注冊請求(RRQ)���、取消注冊請求(URQ)���、脫離請求(DRQ)以及終止方的請求(ARQ)中的加密令牌中含有產(chǎn)生該令牌的網(wǎng)關(guān)的相關(guān)信息,包括網(wǎng)關(guān)ID(即在網(wǎng)關(guān)上配置的H.323 ID)以及網(wǎng)關(guān)密碼�。初始方ARQ消息的加密令牌包含了發(fā)起呼叫用戶的信息,包括用戶ID和PIN����。該功能通過使用網(wǎng)關(guān)RAS消息中的認(rèn)證密鑰提供了對發(fā)送者的驗(yàn)證����。網(wǎng)守使用該密鑰來認(rèn)證消息的來源并保證通信的安全性����。
由于動(dòng)態(tài)實(shí)時(shí)傳輸協(xié)議及RTP控制協(xié)議(RTOP/RTCOP)的端口被語音電話的終端占用,所以防火墻可能會(huì)引起某種問題�,除非它們可以識(shí)別聲音通信并動(dòng)態(tài)的允許這種通信。在控制訪問中使用Cisco PIX安全防火墻��,在使用時(shí)應(yīng)該注意兩點(diǎn):一�����、如果防火墻代理安裝在未實(shí)施保護(hù)措施的防火墻外的網(wǎng)絡(luò)�����,且有記錄路由功能���,則允許訪問的IP地址列表應(yīng)該很小且是可管理的。地址列表是由外部SIP代理服務(wù)器的IP地址構(gòu)成的���。以此獲得可控的安全性����。二、外部用戶不能呼叫防火墻內(nèi)部的網(wǎng)絡(luò)��,除非這些用戶被明確允許�����。另外在VoIP網(wǎng)絡(luò)中提供訪問控制非常有用的Cisco IOS軟件的功能有支持SIP的防火墻�、無令牌呼叫認(rèn)證、為MGCP綁定特定網(wǎng)關(guān)接口和SIP綁定特定的網(wǎng)關(guān)接口����。
VoIP網(wǎng)絡(luò)和其他網(wǎng)絡(luò)要求相似,需要最小的停機(jī)時(shí)間����,甚至在遭受DoS攻擊時(shí)仍能提供通話服務(wù)。如果VoIP服務(wù)成為某個(gè)給定網(wǎng)絡(luò)環(huán)境下通信的關(guān)鍵性設(shè)施�����,那么在VoIP的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中不允許存在任何單點(diǎn)失效點(diǎn)����。提供專門基于電話的冗余功能��,SRS(Survivable Remote Site)電話功能結(jié)合本地網(wǎng)路上的路由和呼叫管理(Call Manager���,CM)為IP電話提供了可靠的支持。當(dāng)IP電話與遠(yuǎn)程配置的主�、二級或者第三級的CM失去連接或者WAN連接中斷時(shí),該功能使用本地網(wǎng)絡(luò)的路由器來處理IP電話的呼叫��。
總結(jié)
確保VPN���、無線及VoIP網(wǎng)絡(luò)的安全時(shí)要考慮的各種因素以及相關(guān)的技術(shù)�。同時(shí)利用有效的功能結(jié)合實(shí)際情況來配置高效安全的VPN����、無線及VoIP網(wǎng)絡(luò)。無線和VoIP網(wǎng)絡(luò)的許多安全技術(shù)還在發(fā)展之中����,應(yīng)該考慮在網(wǎng)絡(luò)中使用更新版本的軟件,以實(shí)現(xiàn)最新的安全功能�。
ZDnet (www.zdnet.com.cn)
相關(guān)鏈接: