IP電話與SAFE
——IP電話安全性分析
2003/02/26
設計原則
SAFE IP電話首先必須提供IP電話服務�。其次,一方面它必須盡可能多地包含傳統(tǒng)電話的特性���,另一方面必須提高安全性����。最后����,它必須以SAFE安全體系結(jié)構(gòu)為基礎,與現(xiàn)有網(wǎng)絡設計集成在一起��,而且不能與現(xiàn)有功能相沖突。在決策過程中��,應該考慮以下設計目標(按優(yōu)先順序排序):按照政策提高安全性和防止攻擊;
服務質(zhì)量; 可靠性�����、性能和可擴展性; 用戶和設備(身份)認證; 高可用性選項(某些設計); 安全管理�����。
如果想用IP網(wǎng)絡打電話�,必須消除基于IP的威脅。與傳統(tǒng)數(shù)據(jù)網(wǎng)相比����,必須保證在緊急情況下�,成千上萬部IP電話都能隨時撥通緊急服務電話(例如911)。另外由于設備發(fā)生故障或惡意攻擊都會影響網(wǎng)絡的正常運行��。思科將介紹幾種技術(shù)用于消除這些威脅���。
在各種設計方案中可能需要用多種模塊�����,每種設計或模塊應包含的內(nèi)容有:整體設計��、訪問控制和包檢查�����、性能和可擴展性�����、高可用性�����、安全管理���、其他設計方案�����。
影響SAFE IP電話設計的重要因素
雖然不同規(guī)模企業(yè)的IP電話設計大不相同�,但面臨的基本問題幾乎相同����。因此��,影響SAFE IP電話設計的重要因素比較相似����。
1.語音網(wǎng)絡是被攻擊的目標:語音網(wǎng)絡的主要問題在于它們是開放的����,無需或只需少量認證就能獲準進入。因此��,語音網(wǎng)絡成為黑客的攻擊目標��。例如有些人喜歡搞惡作劇�,以人力資源的口氣向公司的所有成員發(fā)一封語音郵件,宣布放假一天����。有些人則喜歡訪問首席財務官的語音信箱。更有甚者�����,有些人還喜歡竊聽與客戶的通話�,甚至將通話內(nèi)容透露給競爭對手����。這些情況都已經(jīng)在IP數(shù)據(jù)網(wǎng)中發(fā)生過����,IP語音網(wǎng)絡也不可幸免����,因此語音網(wǎng)必須采取措施提高安全性。
2.數(shù)據(jù)和語音網(wǎng)必須分離:基于IP的電話能夠通過現(xiàn)有的IP數(shù)據(jù)網(wǎng)撥打電話�����。但是����,由于QoS、可擴展性�、可管理性和安全性等因素,IP電話和IP數(shù)據(jù)設備應該部署在兩個邏輯上獨立的網(wǎng)段中�����。將IP語音與傳統(tǒng)IP數(shù)據(jù)網(wǎng)分離將能大大提高抗攻擊能力�����。
雖然網(wǎng)段應該分離,但思科并不建議部署兩個IP基礎設施�����。VLAN���、訪問控制和狀態(tài)防火墻等技術(shù)可以提供必要的第3層分段�,以便使語音網(wǎng)和數(shù)據(jù)網(wǎng)在接入層分離���。
3.終端設備是薄弱環(huán)節(jié):IP電話的終端設備主要有三種形式���,普通電話、IP電話和基于PC的IP電話��。各種終端設備都有不同的安全特性�����。
A.普通電話設備需要防止竊聽��。在基于普通電話的IP電話系統(tǒng)中���,如果能將網(wǎng)段分開����,可阻止數(shù)據(jù)網(wǎng)中的設備竊聽語音網(wǎng)中的會話��。將數(shù)據(jù)網(wǎng)和語音網(wǎng)的交換式基礎設施結(jié)合在一起����,能夠有效防止電話竊聽。
但是�,值得注意的是,如果黑客能接入本地交換網(wǎng)�,就可能用盜來的MAC地址,獲得目標電話的身份��,然后截獲通話內(nèi)容��。
B.IP電話應遵守數(shù)據(jù)/語音分離準則���。許多IP電話都支持一個數(shù)據(jù)端口�����,以便將PC與電話連接在一起���,這種方式應遵守數(shù)據(jù)/語音分離準則����。某些類型IP電話只提供基本的第2層連接�,即IP電話實際上是作為集線器,安全特性相對較差����。某些類型IP電話提供增強的第2層連接,而且可以利用802.1q等VLAN技術(shù)將電話和數(shù)據(jù)端口放置在兩個不同的VLAN中���。這種體系結(jié)構(gòu)能將數(shù)據(jù)和語音網(wǎng)分開���。
C.基于PC的IP電話易遭攻擊。由于有多個矢量進入系統(tǒng)����,因此基于PC的IP電話更容易受到攻擊。這些矢量包括操作系統(tǒng)(OS)易損性��、應用易損性�����、服務易損性、蠕蟲��、病毒等�。由于基于PC的IP電話駐留在數(shù)據(jù)網(wǎng)中��,因此����,它還容易受到面向整個網(wǎng)絡的攻擊。
重要實施策略
1.合理放置防火墻�����,有效控制語音—數(shù)據(jù)網(wǎng)段交互:只有適當控制數(shù)據(jù)和語音網(wǎng)之間的訪問才能部署安全的IP電話網(wǎng)���。要實現(xiàn)這一任務���,應該使用狀態(tài)防火墻,因為它能提供基于主機的DoS保護�����,防止連接短缺和分段攻擊���;在合理和必要的地方���,還通過防火墻提供每端口接入����、反竊聽和常規(guī)過濾等功能���。思科并不提倡在所有網(wǎng)段之間放置狀態(tài)防火墻�����。相反���,需要在特殊網(wǎng)絡位置放置狀態(tài)防火墻。防火墻將負責以下連接:
● 放置在數(shù)據(jù)網(wǎng)段中���,保護語音網(wǎng)中的語音郵件系統(tǒng)安全�����。
● 放置在語音網(wǎng)段中��,為呼叫建立控制����,并配置與數(shù)據(jù)網(wǎng)中呼叫處理管理器相連的IP電話。
● 放置在語音網(wǎng)段中���,隔離放置在數(shù)據(jù)網(wǎng)段中與語音郵件系統(tǒng)連接的IP電話�。
● 放置在語音網(wǎng)段中����,通過語音網(wǎng)中的代理服務器瀏覽IP電話資源——包括員工用戶目錄等�。
● 放置在數(shù)據(jù)網(wǎng)段中,保證IP電話用戶能夠修改電話的配置�����。
● 處于語音網(wǎng)段中���,數(shù)據(jù)網(wǎng)的代理服務器——服務器代理IP電話服務發(fā)出的所有請求��。
基于PC的IP電話還會存在以下兩種連接:
● 數(shù)據(jù)網(wǎng)段中的IP電話訪問語音網(wǎng)段中的呼叫處理管理器��,以便建立呼叫�。
● 數(shù)據(jù)網(wǎng)段中的IP電話訪問語音網(wǎng)段中的語音郵件系統(tǒng)����。
如果IP電話設備使用專用地址空間���,例如RFC 1918提供的地址空間,可以降低流量到達網(wǎng)絡外部的可能性�����。這樣��,網(wǎng)絡外部的黑客就無法發(fā)現(xiàn)語音網(wǎng)中的漏洞�。如果可能,應該盡量在數(shù)據(jù)和語音網(wǎng)中使用不同的RFC
1918地址空間����,以便進行過濾和識別。雖然在所有設計中都將狀態(tài)防火墻作為呼叫處理管理器的前端���,但NAT對語音網(wǎng)內(nèi)傳輸?shù)牧髁坎黄鹱饔��。在所有設計中���,NAT都應在數(shù)據(jù)網(wǎng)和語音網(wǎng)之間,以便通過代理服務器支持IP電話服務。
2.建立身份識別機制:應盡可能多地使用用戶和設備認證機制�,這樣能阻止對IP電話網(wǎng)發(fā)起的許多攻擊。IP電話設備的認證方法主要是MAC地址設置�。用戶認證能更加有效防止設備盜竊MAC地址,并假冒其目標身份作案�����。
用戶名/密碼/PIN組合還可以用于識別訪問呼叫處理管理器的用戶�,用戶能夠在獲得成功認證之后訪問其定制的配置設置。某些語音郵件系統(tǒng)還支持雙因素認證��。在這種情況下����,用戶必須通過嚴格的認證才能修改其定制設置或者聽取語音郵件���。
3.有效防止設備偷接:無論在哪種IP網(wǎng)絡中都應該防止偷接設備插入網(wǎng)絡�����。鎖定網(wǎng)絡中的交換端口�、網(wǎng)段和服務將可防止設備偷接�。下面的四個策略能夠有效防止設備偷接。
首先���,由于動態(tài)主機配置協(xié)議(DHCP)一般都用于部署可擴展的IP電話�����,因此��,可以為已知MAC地址分配IP地址��,防止未知設備獲取地址���。
其次�����,許多呼叫處理管理器都提供自動電話注冊特性���,以便為未知電話提供臨時配置,在日常工作中應該關閉這個功能��,以減少設備偷接機會�����。
第三,可以在語音網(wǎng)絡中使用Arpwatch等工具監(jiān)控MAC地址�。與數(shù)據(jù)網(wǎng)段相比,MAC地址更有可能是靜態(tài)的�,Arpwatch將跟蹤語音網(wǎng)段中所有設備的MAC地址。
最后���,在所有網(wǎng)段中設置過濾功能����。
4.保護和監(jiān)控所有語音服務器和網(wǎng)段:對語音網(wǎng)中的語音服務器應該采取相應的保護措施����。網(wǎng)絡入侵探測系統(tǒng)(NIDS)是一種強大的工具,目前�����,NIDS不提供語音控制協(xié)議攻擊簽名���。為探測從數(shù)據(jù)網(wǎng)發(fā)起的對HTTP用戶設備的攻擊,應該將NIDS部署在呼叫處理管理器的前面�。如果想探測對語音網(wǎng)的DoS攻擊,應該將NIDS部署在語音和數(shù)據(jù)網(wǎng)之間����。
除監(jiān)控特性外����,NIDS還提供兩個特性��。如果探測到網(wǎng)段上有攻擊特征�,它可以打開回避功能,并修改網(wǎng)絡設備的3層地址配置�,以刪除此網(wǎng)段上的所有其他流量。它的復位功能可用于撤消這些操作�。
語音郵件和呼叫處理管理器正確的操作包括:關閉所有不需要的服務,及時為OS和服務補充最新的安全補丁����,強化OS配置,關閉語音服務器上不用的特性�,以及不在服務器上運行不必要的應用(例如電子郵件客戶機軟件)等。建議安裝基于主機的IDS(HIDS)�。由于語音服務器的目標值高,而且核查安全的時間長�,
HIDS能夠立即、有效地防止攻擊����。如果呼叫處理管理器不支持HIDS����,則應該在數(shù)據(jù)網(wǎng)段中的郵件服務器上安裝HIDS����。語音服務器可以運行分布在多臺設備上的多種服務,應當利用這個特性提高安全性�����。語音服務器還支持多種管理方法���,包括HTTP��、SSL和SNMP等協(xié)議�。
網(wǎng)絡世界(cnw.ccw.com.cn)