首頁>>>技術>>>VoIP

穿越VoIP安全“雷區(qū)”

從容 譯 2007/12/12

  最近聽到越來越多的局域網(wǎng)上的新型攻擊,諸如IP語音電話攻擊或利用打印機作為攻擊源的攻擊。那么,局域網(wǎng)安全如何防止此類情況的發(fā)生呢?

  毋庸置疑的是,此類攻擊正在上升。事實上,美國計算機安全組織系統(tǒng)網(wǎng)絡安全協(xié)會(SANS Institute)最近已把這些客戶端攻擊列為最關鍵的安全隱患。雖然對于我們所有人來講,認為完全杜絕此類攻擊是愚魯?shù),不過,我們仍然可以選擇強有力的辦法來減少此類攻擊。

  首先采取的步驟是,在一個包含眾多設備及用戶的局域網(wǎng)內實施一個認證方案。如果一直采用的是802.1X協(xié)議的話,僅僅這樣做是不夠的,因為電話、打印機、醫(yī)療設備,機器人等大部分的其他設備無法支持該協(xié)議。這就需要一個途徑,確保你所知的每一個非用戶設備都連接在網(wǎng)絡上并了解此設備的類型。需要尋求一個認證方法,使得每一個具體已知設備都列入認證名單。如能利用反向域名解析(reverse DNS)來關聯(lián)設備名稱和類型從而自動識別這些設備那將更加完美。

  接下來,需要給非用戶設備設置角色并分配權限。舉例說明,可以在你的網(wǎng)絡中定義一個適用于所有打印機和打印服務器的角色,至于訪問權限,可以指定打印機只能和打印服務器通信,而其他用戶設備也只能和打印服務器通信。(打印機和其他設備之間沒有通信權限)

  同樣,在VoIP方面,可以賦予VoIP電話以VoIP的角色,并定義這些電話只與網(wǎng)絡電話管理員(call manager)通信。你甚至可以超越這種基于應用策略的分區(qū)保護模式。例如,可將扮演VoIP角色的設備只在SIP, H.323, 或是 SKINNY協(xié)議下通信,從而進一步防范基于數(shù)據(jù)的攻擊。此種分區(qū)機制非常有助于防止電話,打印機或是其他設備發(fā)起的攻擊。例如,一個裝有漏洞掃描軟件且處于險境的打印機,無法接觸任何網(wǎng)絡設備找到公共端口。同樣,一個VoIP電話也無法對其他服務器或是用戶終端發(fā)起攻擊,在應用保護的情況下,它甚至無法攻擊使用數(shù)據(jù)協(xié)議的網(wǎng)絡電話管理員。

  有兩種選擇可以實現(xiàn)這樣的局域網(wǎng)安全保障。一種是使用新一代的局域網(wǎng)交換機,這種交換機在認證方面優(yōu)于802.1X,具備對用戶和設備基于應用策略的訪問控制能力,選用這種方式組網(wǎng),網(wǎng)絡便直接獲得了這種能力。如不考慮升級交換機,則考慮具備認證用戶和設備能力的安全應用程序,且要能夠自動設定角色并通過分區(qū)和申請?zhí)峁┗趹貌呗缘脑L問控制。

  無論選擇訪問交換機還是應用程序,最關鍵的是在局域網(wǎng)的周邊提供恰當?shù)?保護,這個位置對于減少客戶端的攻擊至關重要。否則,一旦攻擊開始你將沒有任何工具能夠阻止。

IT專家網(wǎng)


相關鏈接:
基于H.323協(xié)議的VoIP安全問題探討 2007-12-11
五大提供托管VoIP服務的理由 2007-12-11
SkypePhone永不會登陸中國 飛信是voip電話主力 2007-12-10
VoIP網(wǎng)絡電話改變了傳統(tǒng)語音通信 2007-12-06
微軟入侵通信市場 VoIP為尖兵 2007-12-06

分類信息: