Cisco數(shù)據(jù)和語音分離保安全
2004/06/22
由于QoS、可擴(kuò)展性、可管理性和安全性等原因,IP電話設(shè)備和IP數(shù)據(jù)設(shè)備應(yīng)該部署在兩個(gè)邏輯上獨(dú)立的網(wǎng)段中。將IP語音與傳統(tǒng)IP數(shù)據(jù)網(wǎng)分離能大大提高抗攻擊能力,而且允許使用相同的接入層、核心層和分布層。
在第三層分離
雖然網(wǎng)段應(yīng)該分離,但Cisco并不建議部署兩個(gè)IP基礎(chǔ)設(shè)施。虛擬LAN(VLAN)、訪問控制和狀態(tài)防火墻等技術(shù)可以提供必要的第3層分段,以便使語音網(wǎng)和數(shù)據(jù)網(wǎng)在接入層分離。
某些IP電話只提供基本的第2層連接,即IP電話實(shí)際上是作為集線器,將數(shù)據(jù)和語音網(wǎng)結(jié)合在一起。某些IP電話提供增強(qiáng)的第2層連接,而且可以利用802.1q等VLAN技術(shù)將電話和數(shù)據(jù)端口放置在兩個(gè)不同的VLAN中。這種體系結(jié)構(gòu)是假設(shè)已部署的IP電話支持VLAN,因而能將數(shù)據(jù)和語音網(wǎng)分開。安全設(shè)計(jì)不應(yīng)該只依賴VLAN執(zhí)行網(wǎng)絡(luò)分離,它們還應(yīng)該遵守分層的安全最佳實(shí)踐,并采用與IP電話連接的分布層中的第3層訪問控制。所有設(shè)計(jì)中都采用了這種最佳實(shí)踐。
控制二網(wǎng)交互
只有適當(dāng)控制數(shù)據(jù)和語音網(wǎng)之間的訪問才能部署安全的IP電話網(wǎng)。要實(shí)現(xiàn)這一任務(wù),應(yīng)該使用狀態(tài)防火墻,因?yàn)樗芴峁┗谥鳈C(jī)的DoS保護(hù),防止連接短缺和分段攻擊;在合理和必要的地方,還通過防火墻提供每端口接入、反竊聽和常規(guī)過濾。Cisco不提倡在所有網(wǎng)段之間放置狀態(tài)防火墻。相反,需要在允許網(wǎng)段交互的特殊網(wǎng)絡(luò)位置放置狀態(tài)防火墻。在網(wǎng)絡(luò)的任何其它地方都不允許發(fā)生網(wǎng)段間通信,執(zhí)行這種功能無狀態(tài)第3層過濾就已足夠,數(shù)據(jù)和語音網(wǎng)段之間允許通過多種合法流量。
建立身份識(shí)別機(jī)制
應(yīng)盡可能多地使用用戶和設(shè)備認(rèn)證機(jī)制,這樣能阻止對(duì)IP電話網(wǎng)發(fā)起的許多攻擊。IP電話設(shè)備的主要認(rèn)證方法是MAC地址。如果MAC地址未知的電話試圖從呼叫處理管理器下載網(wǎng)絡(luò)配置,而且它不知道IP電話的MAC地址,那么,IP電話將接收到配置信息,假定自動(dòng)注冊(cè)已失效。這種設(shè)置能防止某人將電話偷接到網(wǎng)絡(luò)中,然后通話。
用戶認(rèn)證能更加有效地防止攻擊,即防止設(shè)備盜竊MAC地址,并假冒其目標(biāo)的身份作案。提供用戶認(rèn)證還能提供某種程度的防否認(rèn)功能,因?yàn)槿绻p方都成功地獲得了認(rèn)證,就有某種理由相信處于電話另一端的人或設(shè)備。
用戶名/密碼/PIN組合還可以用于識(shí)別訪問呼叫處理管理器的用戶。借助這個(gè)特性,用戶能夠在獲得成功認(rèn)證之后訪問其定制的配置設(shè)置。用戶必須通過嚴(yán)格的認(rèn)證才能修改其定制設(shè)置(例如問候語)或者聽取語音郵件。
賽迪網(wǎng) 中國(guó)信息化(industry.ccidnet.com)
相關(guān)鏈接:
玛纳斯县|
潼南县|
东乡族自治县|
石嘴山市|
安泽县|
绍兴市|
阿拉善左旗|
河东区|
西乌珠穆沁旗|
赤水市|
余干县|
平谷区|
兰考县|
美姑县|
营口市|
新乐市|
阿拉善右旗|
大洼县|
贵港市|
乌鲁木齐县|
东乌|
五华县|
浑源县|
博兴县|
大丰市|
太湖县|
吉安县|
三台县|
东源县|
中卫市|
桃江县|
柞水县|
休宁县|
大理市|
丹江口市|
崇左市|
台湾省|
奎屯市|
杨浦区|
寿阳县|
苍梧县|