如果实现VoIP,安全是个需要考虑的重要事项,因为VoIP中的每一节点都像计算机一样是可访问的。当遭受DoS攻击、黑客入侵时,VoIP通常会导致发生未经授权的免费呼叫、呼叫窃听和恶意呼叫重定向等问题。针对诸多问题,大力推崇VoIP的思科是如何解决的?
如果实现VoIP,安全是个需要考虑的重要事项,因为VoIP中的每一节点都像计算机一样是可访问的。当遭受DoS攻击、黑客入侵时,VoIP通常会导致发生未经授权的免费呼叫、呼叫窃听和恶意呼叫重定向等问题。针对诸多问题,大力推崇VoIP的思科是如何解决的?
Cisco精心打造的IP-telephony package可以说是整个Cisco网络安全防御系统设备中最安全的一个。测试也表明,通过这种方法建立的VoIP网络能有效抵御熟练黑客的攻击,其拓扑明显要优于许多用户现在部署的安全选项,但美中不足的是,构建这样的系统确实有点价格不菲。
在这样一个系统中,可选的组件包括:两个独立的PIX防火墙、另一个位于backbone Catalyst 6500刀片上的防火墙、在6500中的一个IDS刀片、一个完全独立的管理子网和不同安全的管理应用系统。防火墙和IDS部件的价格共计约64万元。防火墙为桌面带来了许多实用性很强而且具有高安全级别的特性:一个是信任方-不信任方的概念(不信任方接口总是指向黑客);另一个是协议理解,即只有要求VoIP的特定协议才被允许,且请求和响应只能在正确的方向才能通过。本测试中还包括其他一些防火墙特性,例如:VoIP呼叫控制检查(Stateful inspection of VoIP Call Controll)、网络地址解析(networks address resolution)、通过防火墙的通道呼叫控制、TCP截取(TCP intercept,他可确保TCP连接的顺利完成,还能防止呼叫管理器上的DoS攻击,以及对Secure SCCP的支持)。
作为Cisco IP-telephony package的核心所在,呼叫管理器4.0版可处理呼叫控制,还包括一些其他新的安全相关特性。其中最关键之处是VoIP加密,本次测试中语音流(RTP,实时传输协议)加密仅仅在Cisco最新的7970 IP phone sets上得到支持。而基于Windows 2000操作系统的最新呼叫管理器已呈现逐步硬化的趋势。
另外,还有一系列强大的网络自防御特征也包括在本次被测试的Catalyst IOS版本中,尤其是放在core Catalyst 6500上的IOS 12.2(17b)sxa,和aclearcase/" target="_blank" >ccess Catalyst 4500上的IOS 12.1(20)ew等,所有这些功能作为安全防御的先锋,较之其他任何Cisco拓扑中的组件,均有效地阻止了攻击队伍的行动,主要还包括:流量警察(police)和committed access rate,对于阻挡攻击队伍的DoS攻击十分成功;第二层端口安全,他可严格限制一个端口中MAC地址的数量;第二层DHCP侦听(Dynamic Host Configuration Protocol,动态主机配置协议),他可有效阻止动态主机配置协议的连续攻击;动态地址解析协议检查,他能中止ARP(地址解析协议)感染病毒和对ARP的侦听攻击,同时还能抵御攻击队伍大量更隐蔽的攻击;IP源地址保护(IP Source Guard),他能防止伪装攻击;VLAN访问控制列表,可限制到达IP电话的流量等。
CSA(Cisco Security Agent,Cisco安全代理)是另一个基于主机的防止入侵系统(IPS,intrusion-prevention system),现在作为呼叫管理器IP电话服务器中集成的一个安全组件,也出现在Cisco的统一语音邮件服务器(Unity voice mail server),和其他所有贯穿Cisco网络拓扑的Win 2000服务器中。
Cisco有效的安全措施几乎应用在了全部层上:第二和第三层(Catalyst系列交换机),第四和第五层(防火墙和IPS),第六层(RTP语音加密流,目前仍仅限于某些电话),和第七层(基于服务器的软件,如Cisco Security Agent等)。
经过评测部门组织的三天的测试攻击,攻击队伍在电话通信中没有发现明显的干扰,Cisco VoIP系统的安全性基本经受住了考验,但也存在几个瑕疵:首先,黑客队伍很容易就能在一个IP电话基站连接链路中插入一个侦听器,从这个有利的位置他们能观察收集到全部的流量信息细节,如协议,地址,甚至捕捉到RTP,而这是一种运行在UDP上,并承载全部VoIP系统上中语音样本的VoIP协议。虽然流入/出VoIP Cisco 7970电话的流量是经过加密的128位数据,但攻击队伍很容易获取;其次,利用放置的侦听器所收集到的网络信息,黑客能插入他们自己的计算机,因而能进一步访问语音虚拟LAN,并向其他VLAN中的设备发送流量,但他们不能伪装成某个IP电话或IP电话的呼叫。最后,尽管这是一个跨越多层平台的有效的安全策略,但所有这些安全部件之间细微的相互关联和正确的安装是非常令人头疼的,如果将Cisco配置的防火墙其双向都不允许通过流量,这或许很安全,但并不实用。任何不当或不正确的设置,既便是最好的安全策略也会受到影响。
Cisco VoIP系统拓扑图
相关链接
VoIP安全级别:作为网络管理员可能经常要面对诸如此类的问题:“你的IP电话(IP telephony)网络能防止黑客的攻击吗?”可能大多数答案都是肯定的,但这个肯定主要取决于网络所使用的是哪个厂商的IP PBX。因此更重要的是是否制定了周密的网络安全计划、网络和个人资源战略,以及额外的安全设备方面,投入资金和时间等。下表是对几种安全级别的定义。(责任编辑:zhaohb)