设计原则
SAFE IP电话首先必须提供IP电话服务。其次,一方面它必须尽可能多地包含传统电话的特性,另一方面必须提高安全性。最后,它必须以SAFE安全体系结构为基础,与现有网络设计集成在一起,而且不能与现有功能相冲突。在决策过程中,应该考虑以下设计目标(按优先顺序排序):按照政策提高安全性和防止攻击; 服务质量; 可靠性、性能和可扩展性; 用户和设备(身份)认证; 高可用性选项(某些设计); 安全管理。
如果想用IP网络打电话,必须消除基于IP的威胁。与传统数据网相比,必须保证在紧急情况下,成千上万部IP电话都能随时拨通紧急服务电话(例如911)。另外由于设备发生故障或恶意攻击都会影响网络的正常运行。思科将介绍几种技术用于消除这些威胁。
在各种设计方案中可能需要用多种模块,每种设计或模块应包含的内容有:整体设计、访问控制和包检查、性能和可扩展性、高可用性、安全管理、其他设计方案。
影响SAFE IP电话设计的重要因素
虽然不同规模企业的IP电话设计大不相同,但面临的基本问题几乎相同。因此,影响SAFE IP电话设计的重要因素比较相似。
1.语音网络是被攻击的目标:语音网络的主要问题在于它们是开放的,无需或只需少量认证就能获准进入。因此,语音网络成为黑客的攻击目标。例如有些人喜欢搞恶作剧,以人力资源的口气向公司的所有成员发一封语音邮件,宣布放假一天。有些人则喜欢访问首席财务官的语音信箱。更有甚者,有些人还喜欢窃听与客户的通话,甚至将通话内容透露给竞争对手。这些情况都已经在IP数据网中发生过,IP语音网络也不可幸免,因此语音网必须采取措施提高安全性。
2.数据和语音网必须分离:基于IP的电话能够通过现有的IP数据网拨打电话。但是,由于QoS、可扩展性、可管理性和安全性等因素,IP电话和IP数据设备应该部署在两个逻辑上独立的网段中。将IP语音与传统IP数据网分离将能大大提高抗攻击能力。
虽然网段应该分离,但思科并不建议部署两个IP基础设施。VLAN、访问控制和状态防火墙等技术可以提供必要的第3层分段,以便使语音网和数据网在接入层分离。
3.终端设备是薄弱环节:IP电话的终端设备主要有三种形式,普通电话、IP电话和基于PC的IP电话。各种终端设备都有不同的安全特性。
A.普通电话设备需要防止窃听。在基于普通电话的IP电话系统中,如果能将网段分开,可阻止数据网中的设备窃听语音网中的会话。将数据网和语音网的交换式基础设施结合在一起,能够有效防止电话窃听。
但是,值得注意的是,如果黑客能接入本地交换网,就可能用盗来的MAC地址,获得目标电话的身份,然后截获通话内容。
B.IP电话应遵守数据/语音分离准则。许多IP电话都支持一个数据端口,以便将PC与电话连接在一起,这种方式应遵守数据/语音分离准则。某些类型IP电话只提供基本的第2层连接,即IP电话实际上是作为集线器,安全特性相对较差。某些类型IP电话提供增强的第2层连接,而且可以利用802.1q等VLAN技术将电话和数据端口放置在两个不同的VLAN中。这种体系结构能将数据和语音网分开。
C.基于PC的IP电话易遭攻击。由于有多个矢量进入系统,因此基于PC的IP电话更容易受到攻击。这些矢量包括操作系统(OS)易损性、应用易损性、服务易损性、蠕虫、病毒等。由于基于PC的IP电话驻留在数据网中,因此,它还容易受到面向整个网络的攻击。
重要实施策略
1.合理放置防火墙,有效控制语音—数据网段交互:只有适当控制数据和语音网之间的访问才能部署安全的IP电话网。要实现这一任务,应该使用状态防火墙,因为它能提供基于主机的DoS保护,防止连接短缺和分段攻击;在合理和必要的地方,还通过防火墙提供每端口接入、反窃听和常规过滤等功能。思科并不提倡在所有网段之间放置状态防火墙。相反,需要在特殊网络位置放置状态防火墙。防火墙将负责以下连接:
● 放置在数据网段中,保护语音网中的语音邮件系统安全。
● 放置在语音网段中,为呼叫建立控制,并配置与数据网中呼叫处理管理器相连的IP电话。
● 放置在语音网段中,隔离放置在数据网段中与语音邮件系统连接的IP电话。
● 放置在语音网段中,通过语音网中的代理服务器浏览IP电话资源——包括员工用户目录等。
● 放置在数据网段中,保证IP电话用户能够修改电话的配置。
● 处于语音网段中,数据网的代理服务器——服务器代理IP电话服务发出的所有请求。
基于PC的IP电话还会存在以下两种连接:
● 数据网段中的IP电话访问语音网段中的呼叫处理管理器,以便建立呼叫。
● 数据网段中的IP电话访问语音网段中的语音邮件系统。
如果IP电话设备使用专用地址空间,例如RFC 1918提供的地址空间,可以降低流量到达网络外部的可能性。这样,网络外部的黑客就无法发现语音网中的漏洞。如果可能,应该尽量在数据和语音网中使用不同的RFC 1918地址空间,以便进行过滤和识别。虽然在所有设计中都将状态防火墙作为呼叫处理管理器的前端,但NAT对语音网内传输的流量不起作用。在所有设计中,NAT都应在数据网和语音网之间,以便通过代理服务器支持IP电话服务。
2.建立身份识别机制:应尽可能多地使用用户和设备认证机制,这样能阻止对IP电话网发起的许多攻击。IP电话设备的认证方法主要是MAC地址设置。用户认证能更加有效防止设备盗窃MAC地址,并假冒其目标身份作案。
用户名/密码/PIN组合还可以用于识别访问呼叫处理管理器的用户,用户能够在获得成功认证之后访问其定制的配置设置。某些语音邮件系统还支持双因素认证。在这种情况下,用户必须通过严格的认证才能修改其定制设置或者听取语音邮件。
3.有效防止设备偷接:无论在哪种IP网络中都应该防止偷接设备插入网络。锁定网络中的交换端口、网段和服务将可防止设备偷接。下面的四个策略能够有效防止设备偷接。
首先,由于动态主机配置协议(DHCP)一般都用于部署可扩展的IP电话,因此,可以为已知MAC地址分配IP地址,防止未知设备获取地址。
其次,许多呼叫处理管理器都提供自动电话注册特性,以便为未知电话提供临时配置,在日常工作中应该关闭这个功能,以减少设备偷接机会。
第三,可以在语音网络中使用Arpwatch等工具监控MAC地址。与数据网段相比,MAC地址更有可能是静态的,Arpwatch将跟踪语音网段中所有设备的MAC地址。
最后,在所有网段中设置过滤功能。
4.保护和监控所有语音服务器和网段:对语音网中的语音服务器应该采取相应的保护措施。网络入侵探测系统(NIDS)是一种强大的工具,目前,NIDS不提供语音控制协议攻击签名。为探测从数据网发起的对HTTP用户设备的攻击,应该将NIDS部署在呼叫处理管理器的前面。如果想探测对语音网的DoS攻击,应该将NIDS部署在语音和数据网之间。
除监控特性外,NIDS还提供两个特性。如果探测到网段上有攻击特征,它可以打开回避功能,并修改网络设备的3层地址配置,以删除此网段上的所有其他流量。它的复位功能可用于撤消这些操作。
语音邮件和呼叫处理管理器正确的操作包括:关闭所有不需要的服务,及时为OS和服务补充最新的安全补丁,强化OS配置,关闭语音服务器上不用的特性,以及不在服务器上运行不必要的应用(例如电子邮件客户机软件)等。建议安装基于主机的IDS(HIDS)。由于语音服务器的目标值高,而且核查安全的时间长, HIDS能够立即、有效地防止攻击。如果呼叫处理管理器不支持HIDS,则应该在数据网段中的邮件服务器上安装HIDS。语音服务器可以运行分布在多台设备上的多种服务,应当利用这个特性提高安全性。语音服务器还支持多种管理方法,包括HTTP、SSL和SNMP等协议。