首頁(yè)>>>技術(shù)>>>VoIP

穿越VoIP安全“雷區(qū)”

從容 譯 2007/12/12

  最近聽(tīng)到越來(lái)越多的局域網(wǎng)上的新型攻擊,諸如IP語(yǔ)音電話攻擊或利用打印機(jī)作為攻擊源的攻擊。那么,局域網(wǎng)安全如何防止此類情況的發(fā)生呢?

  毋庸置疑的是,此類攻擊正在上升。事實(shí)上,美國(guó)計(jì)算機(jī)安全組織系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS Institute)最近已把這些客戶端攻擊列為最關(guān)鍵的安全隱患。雖然對(duì)于我們所有人來(lái)講,認(rèn)為完全杜絕此類攻擊是愚魯?shù),不過(guò),我們?nèi)匀豢梢赃x擇強(qiáng)有力的辦法來(lái)減少此類攻擊。

  首先采取的步驟是,在一個(gè)包含眾多設(shè)備及用戶的局域網(wǎng)內(nèi)實(shí)施一個(gè)認(rèn)證方案。如果一直采用的是802.1X協(xié)議的話,僅僅這樣做是不夠的,因?yàn)殡娫、打印機(jī)、醫(yī)療設(shè)備,機(jī)器人等大部分的其他設(shè)備無(wú)法支持該協(xié)議。這就需要一個(gè)途徑,確保你所知的每一個(gè)非用戶設(shè)備都連接在網(wǎng)絡(luò)上并了解此設(shè)備的類型。需要尋求一個(gè)認(rèn)證方法,使得每一個(gè)具體已知設(shè)備都列入認(rèn)證名單。如能利用反向域名解析(reverse DNS)來(lái)關(guān)聯(lián)設(shè)備名稱和類型從而自動(dòng)識(shí)別這些設(shè)備那將更加完美。

  接下來(lái),需要給非用戶設(shè)備設(shè)置角色并分配權(quán)限。舉例說(shuō)明,可以在你的網(wǎng)絡(luò)中定義一個(gè)適用于所有打印機(jī)和打印服務(wù)器的角色,至于訪問(wèn)權(quán)限,可以指定打印機(jī)只能和打印服務(wù)器通信,而其他用戶設(shè)備也只能和打印服務(wù)器通信。(打印機(jī)和其他設(shè)備之間沒(méi)有通信權(quán)限)

  同樣,在VoIP方面,可以賦予VoIP電話以VoIP的角色,并定義這些電話只與網(wǎng)絡(luò)電話管理員(call manager)通信。你甚至可以超越這種基于應(yīng)用策略的分區(qū)保護(hù)模式。例如,可將扮演VoIP角色的設(shè)備只在SIP, H.323, 或是 SKINNY協(xié)議下通信,從而進(jìn)一步防范基于數(shù)據(jù)的攻擊。此種分區(qū)機(jī)制非常有助于防止電話,打印機(jī)或是其他設(shè)備發(fā)起的攻擊。例如,一個(gè)裝有漏洞掃描軟件且處于險(xiǎn)境的打印機(jī),無(wú)法接觸任何網(wǎng)絡(luò)設(shè)備找到公共端口。同樣,一個(gè)VoIP電話也無(wú)法對(duì)其他服務(wù)器或是用戶終端發(fā)起攻擊,在應(yīng)用保護(hù)的情況下,它甚至無(wú)法攻擊使用數(shù)據(jù)協(xié)議的網(wǎng)絡(luò)電話管理員。

  有兩種選擇可以實(shí)現(xiàn)這樣的局域網(wǎng)安全保障。一種是使用新一代的局域網(wǎng)交換機(jī),這種交換機(jī)在認(rèn)證方面優(yōu)于802.1X,具備對(duì)用戶和設(shè)備基于應(yīng)用策略的訪問(wèn)控制能力,選用這種方式組網(wǎng),網(wǎng)絡(luò)便直接獲得了這種能力。如不考慮升級(jí)交換機(jī),則考慮具備認(rèn)證用戶和設(shè)備能力的安全應(yīng)用程序,且要能夠自動(dòng)設(shè)定角色并通過(guò)分區(qū)和申請(qǐng)?zhí)峁┗趹?yīng)用策略的訪問(wèn)控制。

  無(wú)論選擇訪問(wèn)交換機(jī)還是應(yīng)用程序,最關(guān)鍵的是在局域網(wǎng)的周邊提供恰當(dāng)?shù)?保護(hù),這個(gè)位置對(duì)于減少客戶端的攻擊至關(guān)重要。否則,一旦攻擊開(kāi)始你將沒(méi)有任何工具能夠阻止。

IT專家網(wǎng)


相關(guān)鏈接:
基于H.323協(xié)議的VoIP安全問(wèn)題探討 2007-12-11
五大提供托管VoIP服務(wù)的理由 2007-12-11
SkypePhone永不會(huì)登陸中國(guó) 飛信是voip電話主力 2007-12-10
VoIP網(wǎng)絡(luò)電話改變了傳統(tǒng)語(yǔ)音通信 2007-12-06
微軟入侵通信市場(chǎng) VoIP為尖兵 2007-12-06

分類信息: