如何做好局域網(wǎng)安全保護(hù) 從VoIP安全說(shuō)起
Emma 2007/12/20
最近我聽(tīng)說(shuō)了比較多的有關(guān)新型局域網(wǎng)攻擊的消息�,例如VoIP攻擊�����,或者使用打印機(jī)作為攻擊源的探測(cè)。那么局域網(wǎng)安全措施如何保護(hù)我們免受這些攻擊困擾呢?
這些攻擊正在上升���,這絕對(duì)是個(gè)事實(shí)����。實(shí)際上����,SANs研究機(jī)構(gòu)最近將客戶端攻擊列為當(dāng)今最為嚴(yán)重的弱點(diǎn)之一。然而如果我們中的任何人認(rèn)為我們可以充分保護(hù)�����,免受此類攻擊的話,那么就是有勇無(wú)謀的了�,當(dāng)有攻擊威脅到你的企業(yè)的時(shí)候,你當(dāng)然可以有一些強(qiáng)有力的措施來(lái)減輕威脅��。
要采用的第一個(gè)步驟就是在你的局域網(wǎng)中實(shí)現(xiàn)一個(gè)認(rèn)證的機(jī)制����,這個(gè)局域網(wǎng)中包括了設(shè)備還有用戶。如果你購(gòu)買了一些類似802.1x的產(chǎn)品�����,它們并不充分�,因?yàn)殡娫挕⒋蛴C(jī)��、體檢設(shè)備�����,機(jī)器人����,以及其他一些設(shè)備絕大部分都不支持802.1x的要求���。
你需要一種方式去確保你知道每個(gè)插入網(wǎng)絡(luò)的非用戶設(shè)備,你也會(huì)知道它是什么樣的設(shè)備�����。尋找一種認(rèn)證方式��,讓你可以將你的某些特定的設(shè)備列入優(yōu)良者名單�����,或者更好是�,幫助你自動(dòng)識(shí)別那些設(shè)備����,通過(guò)使用反向DNS來(lái)講設(shè)備名與設(shè)備類型聯(lián)系起來(lái)。
接下來(lái)��,你需要一種方式將這些非用戶設(shè)備放入一個(gè)角色�����,并給這個(gè)角色分配訪問(wèn)權(quán)限。例如���,你可以訂一個(gè)打印機(jī)角色�,可以應(yīng)用給你的環(huán)境中的所有的打印機(jī)和打印機(jī)服務(wù)器�。至于訪問(wèn)權(quán)限,你可以指定打印機(jī)只能與打印機(jī)服務(wù)器通訊�,所有的用戶設(shè)備都只能夠與打印機(jī)服務(wù)器進(jìn)行通訊。通過(guò)這種類型的策略�����,你可以訪問(wèn)用戶設(shè)備和打印機(jī)之間的直接通訊��。
在VoIP方面也類似�����,你可以指定VoIP電話給VoIP角色����,然后定義這些VoIP電話只可以與呼叫管理器通訊。你甚至可以使用基于應(yīng)用的策略來(lái)超越這種基于地域的保護(hù)���。例如�����,你可以說(shuō)�����,具有VoIP角色的設(shè)備應(yīng)該只使用SIP��,H.323�,或者SKINNY來(lái)進(jìn)行通信����,例如,更進(jìn)一步地保護(hù)免受基于數(shù)據(jù)的攻擊�����。
這種類型的領(lǐng)域劃分在保護(hù)電話����、打印機(jī)或者其他可能作為攻擊發(fā)起點(diǎn)的設(shè)備方面非常有幫助。例如�,被約束的打印機(jī),并且有漏洞掃描軟件安裝在上面的話���,它是不會(huì)被尋找開(kāi)放端口的所有網(wǎng)絡(luò)設(shè)備觸及的���。還有VoIP電話不能用于發(fā)起一個(gè)針對(duì)其他服務(wù)器或者終端用戶機(jī)器的攻擊;通過(guò)應(yīng)用保護(hù)�����,它甚至不能使用數(shù)據(jù)協(xié)議攻擊呼叫管理器����。
那么你用何種方式能夠獲得這樣的局域網(wǎng)安全保護(hù)呢?你有很多選擇��。下一代局域網(wǎng)交換機(jī)��,帶有802.1x之外的認(rèn)證��,可以對(duì)用戶和設(shè)備應(yīng)用基于策略的訪問(wèn)控制��,這是將這種能力直接引入你的局域網(wǎng)的非常不錯(cuò)的方式����。如果你還不想升級(jí)交換機(jī),那么考慮一下具有認(rèn)證用戶和設(shè)備能力����,能夠給設(shè)備自動(dòng)分配角色����,并且可以根據(jù)領(lǐng)域和應(yīng)用采用基于策略的控制的安全設(shè)備�。
無(wú)論是選擇了訪問(wèn)交換或者設(shè)備,關(guān)鍵是要把保護(hù)正確應(yīng)用到局域網(wǎng)的用戶邊緣上����。這個(gè)地點(diǎn)對(duì)于減少這些基于客戶的攻擊是至關(guān)重要的。否則�,你就沒(méi)有工具在他們開(kāi)始的地方去阻斷運(yùn)輸流量。
IT專家網(wǎng)
相關(guān)鏈接: