基于融合数据、语音和视频的 ip网络之上的IP通信技术以其低成本、高灵活性和可治理性已经赢得了企业的关注和信赖,并促使他们作出投资。但是在将语音技术引入IP环境时,很多IT、电话和业务治理人员都担心它在面对攻击时的安全性。语音通信需要与其他高水平安全数据应用同样严格的安全标准。语音呼叫中的信息-----战略性信息、个人信息或财务信息-----一旦被拦截,都可能会像数据通信被窃听一样造成破坏性的影响。而且,没有任何一个企业或服务供给商可以承受一次由于拒绝服务(DoS)而导致语音通信完全中断所造成的损失。语音通信不仅仍然是大部分企业的生命线,而且用户还必须凭借它在碰到紧急情况时获得服务。
传统语音通信的安全问题
虽然大多数有关信息安全的讨论都集中在数据网络,而语音网络其实也面临同样的安全问题。治理语音网络 /PBX/语音信箱的经理总是会碰到各种各样的源于内部和外部的安全风险(参加表1)。
表 1:传统语音通信的安全风险
安全风险
描述
长途电话欺诈
偷窃长途电话服务,通常以非法手段进入 PBX连接PSTN的中继线或者语音信箱来完成。
非授权用户的闯入
窜改语音系统、用户身份和电话配置,以及拦截语音留言
私密性的丢失
窃听和 /或拦截高级信息
拒绝服务( DoS)
恶意攻击或者使呼叫处理设备过载,以阻止合法用户的服务访问
假如没有适当的安全措施,网络的任何部分?D?D包括语音系统--都可能会受到非法攻击或者造成破坏性的影响。网络攻击可以造成很多问题,包括服务中断、泄密或者破坏通信的一致性和完整性,并且可以损坏公众形象和客户信心。不同类型的攻击,其带来的后果可以从轻度的干扰到彻底的系统瘫痪,恢复成本也可能从很少到需要重建的费用。
IP通信带来的新问题
IP通信系统与传统语音系统面临着同样的安全风险。具有讽刺意义的是,IP技术与生俱来的开放性虽然提供了更大的灵活性和更高的生产效率,但同时也为语音网络带来了新的安全问题。不管是渐进式的升级来支持IP技术还是直接迁移到纯IP语音解决方案,这些问题都是同样存在的。
一个与 IP语音有关的安全问题是意欲破坏语音通信的拒绝服务攻击。IP语音系统是部署在数据网络上的,因此IP语音系统是原先只攻击PC、服务器和数据应用的黑客们的潜在目标。IP语音系统的开放性和标准协议使得黑客们可以通过查找安全漏洞或安全缺陷来对其进行攻击。
IP语音面临的很多威胁(例如DoS)都与数据通信类似:病毒、蠕虫、特洛伊木马、中间人攻击、分组监听、IP电子欺骗、密码攻击、信任关系盗用等。同时也存在一些专门针对语音的攻击,例如长途电话欺诈。实际上,针对语音呼叫和与语音有关的系统攻击并不新鲜。(事实上,最早的电话系统黑客行为是所谓的“盗用电话线路”,即在电话线路上发送DTMF双音多频信号,以模拟呼叫控制信号和盗打电话)。传统的语音通信系统很轻易受到DoS攻击、欺诈、窃听和其他安全漏洞的影响;它们也会威胁到IP语音。在IP网络中,黑客可能会试图闯入一个语音网关来拨打“免费”电话。为了窃取隐私,他或者她可以采用一种简称为VOMIT(基于错误配置的互联网电话的语音通信)的软件。该软件采用了独特的设计,可以充当一个有效的VoIP窃听工具,将通过UNIX工具tcpdump获取的IP语音重新组合成一个可听的语音文件。很多商用诊断工具会在合法的情况下利用这种功能诊断语音质量和其他服务参数。应用层攻击可能是专门针对呼叫治理、语音信箱和统一消息系统的。
对 IP网络有着全面深厚的知识和在识别和减轻IP基础设施威胁方面有着丰富经验的厂商,能够快速有效提高IP语音系统的安全性。这与传统语音系统是一个明显的对照, 因 为传统语音系统的缺陷往往是系统本身的并且很难发现,同时保护措施的开发也更加困难和耗费时间。
思科 IP通信安全解决方案:智能的自防御网络
思科的 IP通信安全解决方案是基于思科的自防御网络计划。这种创新的深入防御、多层面安全计划大大提高了网络识别、防御和对抗安全威胁的能力,使网络对于病毒传播、黑客攻击具有自我防御能力,同时从整个IP网络系统的层面通过集成式安全服务策略增强IP通信的安全。集成式网络安全能够通过IP语音和IP网络基础设施之间的紧密集成为话音资产提供全面的系统级保护。
图 1:思科采取系统级的网络安全方法,从三个基本安全原则出发,保护要害网络设备
保护 IP通信的要害网络设备
有效的安全控制必须是端到端进行部署,并涵盖网络中所有的部件、系统和链路。对于语音通信来说,安全性必须顾及到下列要素:
• 网络基础设施 : 承载所有 IP数据、语音和视频流量的基础网络;包括工作组交换机、路由器和连接的链路。
• 呼叫处理系统 : 服务器和相关的设备,提供呼叫治理、控制和计费功能。
• 端点 : IP电话、视频终端和其他用户设施
• 应用 : 用户端应用,例如会议、统一消息、联络中心和 xml服务,也包括扩展IP通信系统功能的客户化工具。
网络安全的三个基本原则
一个企业的网络保护措施应该遵循三个基本原则:安全的连接和治理、威胁防御、治理信任关系和身份。为了加强对语音安全的关注,思科在针对数据网络的安全指南基础上,进一步为 IP语音制定了全面、专门的SAFE指南。它同样关注上述的三个方面。
安全连接不仅包括负责传输语音的底层数据基础设施,有些非凡的规定还有助于提高语音的安全性。针对传输语音的 IP网络的安全措施非凡注重保护四种主要的语音系统设备:IP电话、呼叫治理器、语音信箱系统和语音网关。同样,在信任关系和身份治理以及威胁防御方面,也有专门针对语音的规定。例如,应用一些措施区分和隔离语音呼叫和数据通信,以保障IP电话的安全,防止闯入数据网络的病毒渗入语音平台,以及安排网络的语音和数据部分之间的连接。
安全连接
第一步,在为数据通信制定安全策略的同时,为语音通信制定一项专门的安全策略。
只有在制定一项这样的策略后,您才可以将精力集中于保护 IP语音的安全。现在的很多数据安全措施也可用于保护这种新兴的技术,而且应当在专门解决语音安全问题之前采用。安全连接需要一个安全的底层数据网络——一个对第二层和第三层进行了加固的网络。在加固措施中,有一种是“利用思科 IOS软件中内置的安全功能——例如状态化防火墙和入侵检测——提高路由器和交换机的安全性,启用有助于加强安全的功能,禁用那些可能会产生网络漏洞的功 能,以及强化设备配置。
路由器的加固措施包括:禁止简单网络治理协议( SNMP)访问,关闭不需要的服务,使用安全的治理方法(例如Secure Shell(SSH)),以及确认路由升 级的有效性。交换机 的加固措施包括:通过地址解析协议( ARP)检测或虚拟专网(VLAN)等功能进行第二层加固,利用IP许可列表限制对治理端口(例如SNMP)的访问,利用一个专门的VLAN ID治理所有中继端口,以及禁用没有用到的端口。
另外还需要对呼叫治理器、语音信箱系统和语音网关采取类似的加固措施。这些应用都必须根据供给商的最佳实践进行正确的设置。这个步骤往往被那些认为系统在出厂时已经启用了所有安全功能的治理人员所忽视。由于这些系统可能会以不同的方式进行部署,所以必须针对每次安装的特定环境进行相应设置。
加固网络有助于防止它受到各种借助数据通信发动攻击的影响,例如 DoS、电子欺诈、分组监听、病毒、蠕虫等。下一步是划分网络功能。它可以通过提供更加有效的访问控制和成功地阻止攻击,确保在入侵者闯入数据网络的情况下,语音流量不会受到任何影响。首先,网络应当被划分为多个功能模块。例如,一个园区网络可以被分为一个治理模块、楼宇模块(用户)、服务器模块、实验室模块、楼宇分发、核心和边缘分发。
在上述措施完成后,您可以将语音和数据分开,再通过将语音用户划分到您的以太网 LAN交换机上建立的各个VLAN中,将他们分为多个群组。网络的语音和数据部分之间的连接(该连接仍然是融合的,因为实际使用的只是逻辑隔离,而不是物理隔离)应当被限制于特定位置,例如呼叫处理和语音信箱系统。
在今天这个蠕虫攻击愈演愈烈的时期,网络划分具有非常重要的意义。将数据与语音分开使得对数据网络的攻击不大可能会波及语音部分。例如,基于 RTP实时传输协议的语音流媒体使用的端口范围很广——从16384到32768,假如不进行正确的过滤和划分,攻击可能会通过其中一个端口从数据部分进入语音部分。
您还需要关闭那些可以自动答应试图闯入的用户进入网络或受限网段的系统功能。例如,很多呼叫治理器提供了一种自动的电话注册功能。它会为一部未知的电话提供一个临时性的配置,随后答应它进入网络。这种做法所产生的危险是显而易见的:这部电话——或者某个伪装为电话的设备——可以利用这个漏洞,获得额外的权限或者访问保密的数据。除了在开始的批量设置阶段运用外,建议关闭这项功能。另外一项功能答应通过 IP电话的以太网接口连接的PC接入网络,以承担中继功能。大部分部署都不需要用到这种功能。第三种功能让IP电话可以将所有语音分组复制到电话的数据端口,以支持本地语音诊断或其他应用。同样,这种功能在大多数情况下也是不必要的,而且假如插入数据端口的PC遭受远程攻击,就会导致网络被监听。关闭这两项功能可以提高系统安全性。
最后,访问控制列表( ACL)还可以通过在第二层和第三层之间进行隔离保障连接的安全。内嵌于所有思科路由器、防火墙和多款交换机之中的ACL可以根据请求方的IP地址和协议/端口信息,答应或拒绝语音和数据VLAN之间的访问请求。假如您不在访问控制列表上,您就无法进入网络。它们有助于在数据与语音VLAN之间、语音VLAN之间或者不同模块之间防止未经授权的访问——这对于防御可以自动在整个网络中迅速传播的蠕虫或病毒非凡有用。在每个可以支持ACL的设备中启用ACL,可以实施严格的隔离。
治理信任关系和身份
在连接的安全性达到了你的目标之后,你应当关注于身份和信任关系的治理。你怎么知道致电给你的人——或者接你电话的人——的确是他或她本人?思科提供的一些新奇技术和功能可以帮助你确认对方的身份,其中包括动态主机配置协议( DHCP)监听、IP源保护、动态地址解析协议检测(DAI)。这些技术可以检测经过思科路由器和交换机的访问请求,并对请求访问网络的设备进行身份验证,从而有效防止身份伪装。
DHCP监听可以通过拦截不可靠的DHCP消息——来自于网络或者防火墙之外——防御针对DHCP服务器的基本攻击和DoS资源衰竭攻击。利用DHCP,您可以静态地将一个IP电话的IP地址分配到已知的MAC地址,从而让该IP电话始终具有相同的MAC地址。黑客很难同时伪装这两个地址。
IP源保护的功能可以阻塞和过滤所有通过某个特定端口传输的IP分组(除了DHCP分组以外,这一点由DHCP监听器进行检查)。它只答应具有一个DHCP分配地址的分组通过,从而可以防止恶意主机通过盗用某个相邻主机的IP地址攻击某个网络。DAI会将MAC地址限制于每个端口一个,从而防御各种监听攻击。
为了保护终端用户,思科的 IP电话可以通过数字签名——一种非常重要的新功能——验证所下载的软件映像文件的准确性。黑客可能会试图在IP电话上加载无效的映像文件,从而让其无法操作或者更改它的操作模式。发生后一种情况的可能性较小,但是这也是我们所担心的问题之一。利用数字签名,IP电话就能够验证映像文件的来源。
威胁防御
第三个焦点问题是威胁的治理和防御。要害的技术是状态化防火墙、入侵检测系统( IDS)和入侵防御系统(IPS)。建议主要在两个位置部署状态化防火墙——语音和数据部分会合的地方,以及需要用一个状态监视器保护数据服务的地方。用状态化防火墙保护网络中的每个系统和每个语音部分并不是一件轻松的任务。思科PIX装置能轻松胜任这项任务,处理各种连接,例如,语音部分中的一个语音信箱系统和数据部分中的一个电子邮件系统之间的连接;语音部分中的IP电话连接到另外一个语音部分的呼叫治理器;基于PC的IP电话连接到呼叫治理器;语音网关与融合式流量会合的地方。”
当 ACL需要过滤动态的端口地址,而不是静态的地址时,PIX装置就会承担起状态监视器的角色。ACL并不是状态化的,因而当使用动态端口和RTP协议时,必须开放范围广泛的端口,以建立连接。利用协议感知功能,状态化防火墙可以提供准确到单个端口的精确度,因而不需要开放大量的端口。思科防火墙——包括基于IOS和基于PIX的——都进行了大量的改进,以解决IP语音所带来的问题。
IDS是另外一种必不可少的功能——包括网络中基于网络的IDS(NIDS)和主机上基于主机的IPS(HIPS)。两者分别提供了不同的保护方法。NIDS可以在分组流中寻找已知攻击的特征或者比特序列。它像防病毒系统一样,可以防止网络受到特征已被映射的已知攻击的威胁。它们还可以检测协议和其他异常情况。IDS应当被用于保护网络中的所有要害系统,包括语音信箱和呼叫治理系统。
HIPS弥补了NIDS的不足,它们采用了一种基于行为的而不是基于特征的检测方法寻找主机中的异常事件,并提供“零日攻击防御”。即使主机没有安装漏洞补丁程序,或者某个新的攻击不具有任何已知的攻击特征,IPS仍然可以制止攻击。它们通过监控行为和检测异常情况发挥作用,并且可以真正地、及时地防御各种攻击。试想一下,为什么一个Web服务器的80端口要修改它在注册表中的设置?为什么一个Web服务器要将可执行的cmd.exe复制到它的Web脚本目录?Web服务器是否需要运行shell命令?这些事件显然不应当发生,但是我们在最近的一些感染系统的蠕虫行为中都可以看到它们的踪影。IPS可以防止这些事件的发生。
思科通过思科安全代理( CSA)提供IPS功能。目前很多思科语音产品和思科VPN客户端都可以支持CSA。它可以提供一个额外的“零日”防御层。CSA具有两个版本——桌面版和服务器版。它可以提供入侵防御、分布式防火墙、恶意移动代码检测、操作系统完整性保障和审核日志整合等功能。
在针对安全连接、身份和信任关系治理,以及威胁治理和防御采取了相应的措施后,您的总体战略应当是“深度防御”。在整个网络中的任何或者全部系统中的任何合适的地方采用部分或者所有安全技术。绝不要依靠于某一种单独的安全机制。因此,应当在路由器、交换机、服务器,甚至客户端系统(例如 PC)上启用IDS。当然,还应当在大部分系统上部署ACL;当网络中不同层次的多个系统采用了多项技术时,应当使用思科 IOS软件和防火墙装置。
思科 CallManager呼叫治理系统的整体安全架构总结
图2:思科CallManager呼叫治理系统安全整体架构
思科 CallManager 呼叫治理系统利用介质加密和信令加密提供安全连接。假如使用了媒体加密,IP电话液晶显示屏上将显示一个小图标,以表示安全呼叫状态。
128位先进加密标准(AES)媒体加密通过安全实时协议(SRTP)实施,这是对在IP电话环境中传输语音的协议的标准扩展。由于SRTP的延迟很低,增加加密后对通话质量几乎没有影响,用户几乎感觉不到有任何差别。
利用新型信用和身份治理特性,拨打加密电话既轻易又安全。考虑到某些厂商推出的需要人工加密认证的电话可能被盗用,思科 CallManager 呼叫治理器及大部分思科IP电话都支持X.509第3版数字证书,即嵌入了加密密钥,自动完成通话加密过程。另外,该解决方案还支持第三方证书机构,以保护现有投资。利用数字证书提供的信用,用户可以绝对相信自己是在与适当的人通话。不仅如此,借助加密和安全密钥交换,还可以利用Message Digest 5(md5)安全散列算法(SHA)签署和验证IP电话中的软件映像,以保证映像的合法性。在此之上,假如是在安全模式中,还可以利用传输层安全(TLS)或安全套接字层(SSL)3.0对IP电话系统中使用的信令加密,从而防止遭受中间人袭击,最终破坏系统的完整性。思科的IP通信系统将呼叫治理器、IP电话、会议桥接器、语音网关以及语音留言和统一消息等应用集成到安全的体系结构中,保证有意义的端到端加密。
所有的思科 CallManager 治理员和用户都以HTTPS(安全的HTTP)的形式访问Web页面。HTTPS提供服务器和用户端之间加密和解密的安全Web通信。Web服务器通过证书的方式对用户端进行认证。HTTPS通信的内容包括用户名和密码、系统的配置修改、系统的服务治理功能,以及用户端的快速拨号、呼叫转移等功能的配置。CallManager呼叫治理系统的目录服务也支持SSL安全通信,它提供用户数据(包括密码)到目录服务器的发送和接受的安全传送。
SRST(远程电话再生)支持安全的通信功能,SRST设备的证书通过COM Object接口恢复并增加到CallManager的数据库中。
思科安全代理( CSA)在包括呼叫治理器、Unity统一消息和IP联络中心在内的思科IP通信产品中是免费捆绑提供的。利用CSA嵌入版能够提供更好的威胁防御,它通过在IP通信基础设施中添加异常入侵检测和策略控制实现建立思科自防御网络的观点。
作为新的发展方向,思科 IP通信的集成式网络安全将通过与数据网络安全功能的紧密配合提供全面的安全性、系统级保护、完整性和私密性。思科为IP通信解决方案制定的集成式自防御网络安全计划不但能够保护现有的思科AVVID基础设施和IP通信解决方案投资,还能帮助客户将安全性提高到TDM PBX系统无法实现的水平,同时在保护IP通信资源的同时,节省运作开支,提高企业的生产效率。
详情垂询
假如想具体了解思科 IP通信和思科话音解决方案请访问: http://www.cisco.com/en/US/partner/PRodUCts/sw/voicesw/index.Html ; 假如想具体阅读思科SAFE蓝图的白皮书或者想了解思科V3PN话音和视频VPN解决方案请访问: www.cisco.com/go/safe
另外思科和某些思科合作伙伴还提供全套设计、实施、咨询和外包服务以帮助企业建立和运行安全的 IP通信系统和网络,欲知详情请访问: www.cisco.com/go/securitypartners 或 www.cisco.com/go/avvidpartners
