思科接入路由器提供的介质验证和加密特性可防止窃听端接在TDM或模拟话音网关端口上的话音会话。这些可靠、可扩展的特性为LAN(局域网)或WAN(广域网)上的IP通信提供了安全的环境。
产品概述
大企业的分支机构和中小企业纷纷开展IP通信,以降低运营成本、提高生产率并简化网络管理工作。从思科1700到思科3800平台的广泛的思科接入路由器专门用于为要求最苛刻的企业环境提供广泛的、功能强大且可扩展的IP话音通信解决方案。
思科接入路由器提供了广泛的话音安全特性,能够为部署了这些IP通信解决方案的企业提供最高级别的安全保护。与其它厂商通过依赖逐步增强单点产品来保护通信解决方案各组件不同的是,思科基于自防御网络计划的多层解决方案以网络本身作为起点,并一路扩展到端点和应用。这个全面的分层安全方法在业界首屈一指,无与伦比。客户可参阅‘Cisco SAFE蓝图’,详细了解最佳方法架构和工具,以帮助保护网络安全。
虽然一级防御是控制并防止访问话音域,使用安全RTP(SRTP)的介质加密可提供更高级别的保护。它加密话音会话,将其以难以破解的方式呈现在获得话音域访问权的内外部黑客面前。SRTP特别设计用于话音分组,支持AES加密算法,并符合互联网工程任务组(IETF) RFC 3711标准。使用RTP的介质加密的带宽效率高于IPSec。
思科接入路由器的介质加密功能同时与思科IP电话上的Cisco CallManager和介质加密特性兼容,以同时保护网关间呼叫一级MGCP模式的IP电话到网关的呼叫。这使客户能够在IP电话与网关间进行安全的普通呼叫、模拟呼叫或传真呼叫,取决于终端介质的网关接口类型。由Cisco CallManager派生出的话音加密密钥通过加密的信令路径发送到TLS(传输层安全性)上的思科IP电话,或IPSec上的网关。
思科接入路由器上的介质加密特性自IOS软件V 12.3(第5代)T (IOS PI-5 版本)起开始提供,可升级到Advanced Enterprise Services和Advanced IP Services IOS软件特性集。PVDM2、NM-HD和NM-HDV2 话音网关网络模块通过数字信号处理模块(DSP)提供这些特性。
特性表
下表具体说明了介质验证和加密解决方案。
应用
思科接入路由器的介质验证和加密特性与思科IP电话和Cisco CallManager上的介质加密特性结合在一起,可为整个WAN或LAN上的IP通信提供安全的环境。如下图所示,SRTP用于加密分支机构A中话音网络模块上的话音呼叫。这可在办公室中提供模拟电话间或传真机间的安全呼叫。同样,用户也可从分支机构A中的时分复用(TDM)端点或模拟电话向位于总部的思科IP电话发出安全呼叫。分支机构A中的网关与Cisco CallManager间的信令通过IPSec得到保护,而总部IP电话与Cisco CallManager间的信令则通过TLS得到保护。
图1:介质验证和加密
主要特性和优势
介质验证和加密
介质验证目前为话音呼叫提供端到端的(从思科IP电话到思科IP电话)的加密。思科接入路由器的介质加密特性使路由器添加了对IP电话到网关以及网关间安全呼叫的支持。客户现已能够使用基于IETF RFC3711标准的安全RTP向PSTN网关发出加密呼叫。SRTP只加密话音分组的有效负荷,无需添加加密报头。因此,SRTP加密的话音分组几乎不能与RTP话音分组区分开来,从而允许支持QoS(服务质量)和压缩的RTP等特性,无需任何其他的开发或分组处理工作。此外,安全的RTP还使用密钥规模更大的AES加密算法,以提供更高的安全性。话音加密密钥按呼叫生成,确保了更高级别的安全保护。介质验证功能还可验证加密呼叫的网关或IPT电话的身份。
使用SRTP的介质加密适用于LAN上的话音保护,防止内部威胁。此外,介质加密还可部署在IP WAN或互联网上,使用用于数据的相同的VPN基础设施。
信令验证和加密
网关与Cisco CallManager间的信令验证和加密通过IPSec得到保护。这可确保DTMF数字、密码、个人识别号和话音加密密钥等信令信息的安全性。IOS中提供的基于软件的IPSec以及通过AIM-VPN模块提供的基于硬件的IPSec都得到支持,为客户提供了灵活性。
加密呼叫的可扩展性
SRTP介质加密在数字信号处理模块上(不是在路由器CPU上)完成。这可通过DSP增加话音网关接口的数量,从而提供高效的可扩展性,或者说,增加集成在平台(如集成多业务路由器)上的DSP数量将增加用于安全呼叫的DSP数量。
高效的延迟优化和信道容量影响
密钥交换是正常MGCP呼叫设置的组成部分,因此,加密的呼叫不会造成更长时间的设置延迟,也不会导致更多信息。它同时也不会造成话音介质延迟,因为SRTP介质加密在DSP中完成,而不是由CPU或必须处理已完成话音分组的单独的加密引擎完成。
G.729 和G.729a模式中的加密呼叫没有信道容量影响,G.711模式中的影响也极低。下表按DSP显示了信道影响。
管理特性
介质验证和加密可通过CLI命令轻松配置在思科接入路由器上。此外,思科IP电话上的锁标指示符等特性能够对IP电话与支持网关间的加密电话呼叫提供直观确认。如果呼叫流中的设备不支持介质加密或者安全性受到某种形式的威胁,则锁标消失。CLI 命令还可用于确认并提供关于加密呼叫的细节并排除呼叫故障。
定位SRTP与IPSEC V3PN
SRTP与IPSec VPN技术间存在某些差别。其中一个主要差别在于SRTP能够提供端到端的加密,即从IP电话到IP电话;而IPSec VPN则是基于路由器间隧道的加密。此外,SRTP只加密话音分组,而IPSec VPN隧道可同时传输数据、话音和视频。
然而,SRTP是IPSec VPN的补充话音加密方法。对于部署了可信任的WAN网络的大型企业和中小企业来说,SRTP可在该网络上端到端地加密话音。然而,大多数大型企业和中小企业都通过互联网或服务供应商管理的WAN开展业务。因此,WAN可能是不安全的,而VPN隧道可在分支机构间安全地传输数据。SRTP可保护在IPSec VPN上的WAN中传输的话音流量的安全,而这个IPSec VPN同时也用于传输数据。如下图所示:
图2:安全的 RTP和V3PN
特性的提供情况
PVDM2分组/话音DSP模块与2811、2821和2851集成多业务路由器主板上的VIC/VWIC一起使用。也可与2821和2851平台上的高密度模拟/BRI扩展话音/传真模块(EVM-HD-8FXS/DID)一起使用。
思科接入路由器上的话音网关模块与支持介质加密的Cisco 7940、7960和7970 IP电话互操作。Cisco 7970通过Cisco CallManager 4.0支持介质加密,而Cisco 7960和Cisco 7940 IP电话则在即将推出的Cisco CallManager版本中支持介质加密。
