解析部署統(tǒng)一通信系統(tǒng)中網(wǎng)絡(luò)安全問題
2009/04/15
今天�,統(tǒng)一通信是個熱點話題�,這是因為�����,IP語音通信和融合多媒體解決方案可通過為最終用戶提供靈活的業(yè)務(wù)套餐和更多移動業(yè)務(wù),適應(yīng)企業(yè)組織變革����,降低運營成本并提高效率。但是��,隨著網(wǎng)絡(luò)入侵事件的日益增多�����,企業(yè)和業(yè)務(wù)提供商始終都擔(dān)心它們是否能夠滿足這些新的IP電話和多媒體系統(tǒng)對安全性和可靠性要求。是的����,開放性和普遍性固然使IP網(wǎng)絡(luò)成為強大的業(yè)務(wù)工具,但也同時為它帶來了巨大的安全隱患��。在將合法用戶接入網(wǎng)絡(luò)的端口和門戶時�,網(wǎng)絡(luò)黑客和那些為了個人利益或出于惡意而企圖侵占網(wǎng)絡(luò)資源的攻擊者也同時乘虛而入。攻擊者可以通過使用IP地址欺騙�、拒絕服務(wù)(DoS)攻擊、后門入口等工具和技術(shù)入侵網(wǎng)絡(luò)�,達(dá)到破壞服務(wù)、盜用服務(wù)和竊取機密信息等目的����。
毋寧質(zhì)疑,我們在搭建安全可靠的端對端網(wǎng)絡(luò)方面���,如何為業(yè)務(wù)提供商和企業(yè)的這些系統(tǒng)提供安全保護(hù)���,是一個必須面對的問題����。
為IP電話和多媒體系統(tǒng)提供安全保護(hù)
為了應(yīng)對這些攻擊��,我們采用那些在通信服務(wù)器或企業(yè)通信管理器產(chǎn)品系列開發(fā)出相應(yīng)的IP電話解決方案�,以滿足業(yè)務(wù)提供商在運行�、可靠性和性能方面的嚴(yán)格要求,并服務(wù)于個人和企業(yè)用戶����、小型企業(yè)、政府機構(gòu)和那些為最終用戶提供服務(wù)的企業(yè)����。
這些IP電話解決方案還能得到進(jìn)一步增強,以便通通信服務(wù)器的支持�,提供融合多媒體解決方案,包括實時視頻���、安全即時消息�����、應(yīng)用共享�、白板和在線狀態(tài)等�����,它們既可以是專用解決方案也可以是托管解決方案。新興的融合多媒體解決方案正成為提高企業(yè)生產(chǎn)力的基本工具��,同時還能提升個人和企業(yè)用戶的通信體驗���。
在保護(hù)多媒體服務(wù)器����、應(yīng)用服務(wù)器和網(wǎng)關(guān)設(shè)備方面����,在產(chǎn)品研發(fā)及實施階段遵循多個原則,以確保IP電話和多媒體通信系統(tǒng)的完整性以及用戶信息的保密性���。這些原則包括:
- 多媒體安全解決方案必須符合網(wǎng)絡(luò)操作者的安全策略����,不論該操作者是某個企業(yè)的IT組織還是一個業(yè)務(wù)提供商�����。
- 必須在數(shù)據(jù)層面為IP網(wǎng)絡(luò)提供安全保護(hù),并且所采用的任何安全機制必須能夠在如下環(huán)境內(nèi)運行:具有嚴(yán)格的VoIP和多媒體實時性能要求���,以及極高的時延/抖動(端到端小于150毫秒)和丟包率(接近0%)要求。
- 業(yè)務(wù)關(guān)鍵型通信服務(wù)器以及相關(guān)的信令和控制系統(tǒng)必須具備物理安全性���,并得到保護(hù)以防范內(nèi)外攻擊�����。
- 力求在不同設(shè)備上以及有線和無線接入模式下實現(xiàn)的易用性和一致的用戶體驗也必須得到實現(xiàn)���,并且必須對各種認(rèn)證方式和加密技術(shù)透明。
- 所有多媒體產(chǎn)品對各種標(biāo)準(zhǔn)的支持將確保能夠滿足業(yè)務(wù)提供商和企業(yè)在功能和互通性方面的要求�。
- 必須在整個多媒體環(huán)境中采用一種整體的安全方法,以便實現(xiàn)業(yè)務(wù)提供商之間���、企業(yè)之間�、公網(wǎng)和專網(wǎng)之間的互通�。
企業(yè)所采取的IP電話和多媒體系統(tǒng)保護(hù)戰(zhàn)略,要采用一種例如分層安全防護(hù)方法����,它是網(wǎng)絡(luò)安全體系結(jié)構(gòu)遵循的一個重要原則。確保多媒體系統(tǒng)和網(wǎng)絡(luò)安全的分層防護(hù)方法能夠避免網(wǎng)絡(luò)上的任何單點故障。通過在網(wǎng)絡(luò)的多個區(qū)域采用多種強制安全策略的方法可以實現(xiàn)分層防護(hù)����,而且還可利用符合標(biāo)準(zhǔn)的解決方案對其提供支持。這種方法與傳統(tǒng)的IT方法不同�,后者主要通過防火墻為網(wǎng)絡(luò)邊界提供保護(hù)。
除了將最佳實踐應(yīng)用于保護(hù)整個IP網(wǎng)絡(luò)外��,我們的VoIP和多媒體解決方案還在分層體系結(jié)構(gòu)中提供具體的多媒體安全功能���,包括設(shè)備級安全�����、邊界保護(hù)���、端點的策略符合性和網(wǎng)絡(luò)級保護(hù)、以及應(yīng)用級安全��。
設(shè)備級安全
在設(shè)備級����,負(fù)責(zé)提供統(tǒng)一消息、呼叫中心和CTI業(yè)務(wù)我們的IP電話服務(wù)器�、多媒體服務(wù)器和應(yīng)用服務(wù)器要能將將管理功能與業(yè)務(wù)功能分開����、嚴(yán)格的訪問控制�、以及用戶認(rèn)證、授權(quán)和計費�����。
同時我們的方案最好在不同的語音�、多媒體和應(yīng)用服務(wù)器中采用些基本的安全方法�����,以確保關(guān)閉所有任何可能被攻擊者利用的后門程序��。例如:
- 關(guān)閉不用的端口(如用于控制臺或遠(yuǎn)程調(diào)制解調(diào)器訪問的端口);
- 只允許使用經(jīng)過授權(quán)的應(yīng)用軟件;
- 支持針對操作人員設(shè)置多級權(quán)限(如監(jiān)視���、配置和控制權(quán)限);
- 安全地保存用戶密碼;
- 對密碼格式和管理變更進(jìn)行嚴(yán)格控制;
- 可使用VPN路由器對管理業(yè)務(wù)(如計費信息)進(jìn)行加密���,即使這些信息只在內(nèi)部傳輸。
邊界保護(hù)
網(wǎng)絡(luò)邊界保護(hù)針對的是位于一個被稱之為安全多媒體區(qū)域的VoIP和多媒體資源���。這種保護(hù)可確保只允許合法的多媒體業(yè)務(wù)���、信令業(yè)務(wù)和管理業(yè)務(wù)進(jìn)入這一區(qū)域���。
安全多媒體區(qū)域采用安全多媒體控制器等產(chǎn)品在通信和多媒體服務(wù)器周圍設(shè)置一道“安全防護(hù)欄”,以保護(hù)這些設(shè)備免遭內(nèi)外攻擊�������?梢葬槍I(yè)務(wù)提供商和企業(yè)采取不同的方法���,這是因為業(yè)務(wù)提供商通常允許用戶通過開放的互聯(lián)網(wǎng)訪問它們的VoIP系統(tǒng)�����,而企業(yè)主要關(guān)心如何在在一個相對安全的企業(yè)內(nèi)部網(wǎng)上進(jìn)行部署�,并通過安全隧道的延伸實現(xiàn)遠(yuǎn)程和移動接入����。
端點的策略符合性和保護(hù)
無論是應(yīng)用于本地或遠(yuǎn)端的有線或無線IP話機,還是應(yīng)用于PC和PDA中的軟件客戶端���,端點的策略符合性可確保只有通過認(rèn)證的用戶和符合操作者定義的安全策略的終端設(shè)備才能接入網(wǎng)絡(luò)��,并且這些設(shè)備只能使用經(jīng)過授權(quán)的應(yīng)用和網(wǎng)絡(luò)資源����。
目前,采用符合行業(yè)標(biāo)準(zhǔn)的HTTP Digest認(rèn)證方式對多媒體用戶進(jìn)行認(rèn)證����,從而防止未知設(shè)備偽裝成一臺IP話機,或防止一臺IP話機進(jìn)入一個未經(jīng)授權(quán)的網(wǎng)絡(luò)端口�。我們使用的以太網(wǎng)交換機、以太網(wǎng)路由交換機和WLAN安全交換機不僅要支持802.1x/EAP認(rèn)證���,而且還支持媒體訪問控制(MAC)地址過濾,作為訪問控制的另一種形式��。
對于IP電話軟件客戶端�����,解決方案需支持IPsec VPN認(rèn)證�,并支持通過一個SSL(安全套接字層)VPN提交用戶名和認(rèn)證信息。IPsec是互聯(lián)網(wǎng)工程工作小組(IETF)定義的一套安全協(xié)議��,它們通過加密�、認(rèn)證�、保密��、數(shù)據(jù)完整性����、防回放保護(hù)和防業(yè)務(wù)流分析來保護(hù)IP通信業(yè)務(wù)。
IPsec SSL VPN連接可利用SNA解決方案查詢本地或遠(yuǎn)程接入設(shè)備���,以確保它們符合企業(yè)的安全策略��,如防火墻和防病毒軟件的最新定義���。在VPN中,SNA解決方案采用隧道防護(hù)(TG)技術(shù)�。一些VPN產(chǎn)品系列幾年前就開始采用這一獨特技術(shù),讓企業(yè)能夠靈活采用以下方式確保端點安全:在安裝VPN客戶端時安裝一個代理�����,或者將代理下載到試圖建立一個SSL VPN連接的設(shè)備上����。
不僅如此,SSL還與第三方廠商通過一個開放的應(yīng)用程序接口(API)相互作用�����。如果某個設(shè)備不符合安全策略,可以將其放置在一個用于糾正的VLAN內(nèi)����,直到其符合安全策略為止。
應(yīng)用級安全
確保語音通信的保密性是IP電話系統(tǒng)抗衡傳統(tǒng)TDM系統(tǒng)的一個關(guān)鍵因素���。
當(dāng)今的交換式以太網(wǎng)內(nèi)部體系結(jié)構(gòu)-連同語音VLAN�、地址解析協(xié)議(ARP)防欺騙等協(xié)議控制技術(shù)�����、以及安全的配線柜-的確能夠使內(nèi)部IP呼叫與TDM呼叫一樣安全���。
為了確保通往PSTN的外部IP呼叫的安全,一個媒體網(wǎng)關(guān)首先要將數(shù)據(jù)包轉(zhuǎn)換成一個TDM呼叫���,從而實現(xiàn)等同于TDM環(huán)境下的呼叫安全����。
幾乎所有客戶都認(rèn)為任何通過互聯(lián)網(wǎng)傳輸?shù)臉I(yè)務(wù)-無論語音和數(shù)據(jù)業(yè)務(wù)或通過有線和無線方式接入的業(yè)務(wù)-都是不安全的�,并且容易遭受探測攻擊���。由于存在這種擔(dān)心,人們通常采用SSL技術(shù)保護(hù)用戶認(rèn)證和金融交易信息等重要的信息��,并采用IPsec VPN技術(shù)確保企業(yè)遠(yuǎn)程辦公站點和分支機構(gòu)的接入安全���。我們采用IPsec和SSL VPN解決方案完全能夠確保企業(yè)內(nèi)部網(wǎng)上遠(yuǎn)程辦公人員���、移動工作人員、分支機構(gòu)和遠(yuǎn)程辦公室的IP電話呼叫安全���。
在低風(fēng)險的內(nèi)部IP呼叫和高風(fēng)險的互聯(lián)網(wǎng)/無線IP呼叫之間是一種極易遭受竊聽的業(yè)務(wù):撥入式電話會議���。
我們采用的系統(tǒng)產(chǎn)品通常要可以通過一個主持人可視面板提供一整套易用的撥入式電話會議安全功能。主持人可以使用該面板查詢參加和退出會議呼叫的人員���,甚至可以要求參加者二次輸入密碼進(jìn)行從新認(rèn)證�����。所有這些功能都極大增強了傳統(tǒng)和IP電話通信環(huán)境的安全性�����。
對于想要確保VoIP和多媒體系統(tǒng)最高安全的客戶����,我們的服務(wù)實施團(tuán)隊要可以為客戶提供設(shè)計和集成服務(wù),包括評估現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)(包括與客戶相關(guān)人員共同召開協(xié)作會議和進(jìn)行項目規(guī)劃)�����,提供一個詳細(xì)的安全體系結(jié)構(gòu)計劃���,并針對VoIP和/或多媒體解決方案以及具體的部署要求提供網(wǎng)絡(luò)結(jié)構(gòu)圖���。
網(wǎng)界網(wǎng)
相關(guān)鏈接: