[周报全文]中小型IP电话安全设计

2003-02-24 |  作者:佚名 |  来源:互联网 |  查看原文

摘要中小型IP电话安全设计

    中小型IP电话安全设计

    中小型IP电话安全设计分别利用了SAFE中的中、小型网络设计,主要涉及2个模块:公司互联网模块和园区网模块,为了提供IP电话功能,都对相应模块进行了修改,每种设计或模块应包含的内容有:整体设计、访问控制和包检查、性能和可扩展性、高可用性、安全管理、其他设计方案。假设这种设计用于公司总部,如果用于分支机构,还应该作相应的修改。

    小型IP电话

    在小型IP电话安全设计中,其公司互联网模块已经过修改,以便支持语音服务、针对WAN备份和本地呼叫的公共交换电话网(PSTN)以及针对数据/语音分离的VLAN。园区网也进行了修改,以便支持IP电话、基于PC的IP电话、代理服务和VLAN。整个小型企业设计如图2所示。

    公司互联网模块

    公司互联网模块为内部用户提供与互联网服务的连接。

    1.与IP电话相关的设备

    ● 语音型防火墙路由器——提供网络级资源保护,对流量进行状态过滤,并提供语音服务。

    2.保护语音安全的措施

    ● 非授权访问——通过防火墙的过滤功能阻止这种访问。

    ● 话费欺诈——访问控制只允许已知电话设备相互通信。

    ● 拒绝服务——通过TCP设置控制功能限制暴露给呼叫处理管理器的程度。

    ● IP欺诈——RFC 2827和1918过滤器放置在互联网电信服务供应商(ISP)边缘和本地防火墙路由器上。

    3.设计指南

    这种模块的所有特性都被压缩到一个盒中。这些特性包括路由、NAT、IDS、VLAN、语音服务、VPN和状态防火墙。在SAFE中共提出了两个主要设计方案。第一个方案是使用路由器。这种设置能够为小型网络提供较高的灵活性。另一个方案是使用专用防火墙。但是,专用防火墙对总体设计和IP电话的部署有许多限制。

    路由器通过访问控制和状态检查控制数据网和语音网之间的接入。应该注意的是,路由器和防火墙中的集成式IDS不能提供独立NIDS设备提供的全部特性。

    园区网模块

    园区网模块包括最终用户工作站、公司内部网服务器、管理服务器、IP电话以及支持设备所需的相关的第2层基础设施。在小型网络设计中,第2层功能已经集成到一台交换机中。

    1.关键的IP电话设备

    ● 第2层交换机(带VLAN支持)——为数据和语音设备提供第2层服务。

    ● 公司服务器——为内部用户提供电子邮件和语音邮件服务,为工作站提供文件、打印和域名系统(DNS)服务。

    ● 用户工作站——通过基于PC的IP电话为网络上的授权用户提供数据服务和语音服务。

    ● IP电话——为网络上的用户提供语音服务。

    ● 呼叫处理管理器——为网络中的IP电话设备提供语音服务。

    ● 代理服务器——为IP电话提供数据服务。

    2.保护语音安全的措施

    ● 包窃听/呼叫截获——限制窃听有效性的交换式基础设施。

    ● 病毒和特洛伊木马应用——基于主机的病毒扫描能预防多种病毒和特洛伊木马。

    ● 非授权接入——这种接入可以通过使用HIDS和应用访问控制消除。

    ● 应用层攻击——为操作系统、设备和应用提供最新的安全补丁,多数服务器都可以受到HIDS的额外保护。

    ● 呼叫者身份欺诈——向管理员报告未知设备。

    ● 话费欺诈——呼叫处理管理器将不允许配置未知电话。

    ● 拒绝服务——将语音网和数据网分开能大大减少攻击的可能性。

    ● 否认——用户必须在访问电话设备前接受认证,目的是减少拒绝为已拨打电话付费的机会。

    ● 信任关系利用——限制信任模式和专用VLAN,以便预防基于信任关系的攻击。

    3.设计指南

    园区网交换机的主要功能是交换数据、管理和语音流量,以便为公司、语音和管理服务器和用户提供连接。这些功能通过VLAN执行,并依赖主要系统上的HIDS和病毒扫描功能。语音邮件/电子邮件服务器必须放置在数据网中。

    在第2层交换机内,VLAN功能是打开的,作用是防止从数据网对语音网发起攻击。由于园区网模块中没有第3层服务,因此,这种设计应特别重视应用和主机的安全性,HIDS安装在园区网内的主要系统上(+微信networkworldweixin),包括公司服务器、呼叫处理管理器和管理系统。

    这种设计使用了第3层和第4层过滤的功能,目的是限制已知管理系统对语音服务器的管理。应用级安全性用于为管理流量的配置和监控提供保密性和用户认证。IP电话可定期从呼叫处理管理器上下载最新配置和OS版本。

    如果需要进一步完善,还可以部署两个语音网段:一个用于IP电话,另一个用于呼叫处理管理器。与单网段相比,这种设计加强连接管理。

    分支机构与独立式配置

    在分支机构设计中,由于语音服务位于远端,因此,防火墙路由器的配置将更加复杂。在公司互联网模块中,分支设计需要多个软件,以便在总部发生故障时支持路由器上的呼叫处理。分支机构支持的电话设备数量不但受总部呼叫处理管理器和语音邮件系统的限制,还受公司互联网模块中语音型路由器的限制,可能还会受到总部呼叫处理管理器和语音邮件系统的性能影响。

    中型IP电话设计

    在中型IP电话安全设计中,公司互联网模块不需要进行修改。园区网模块则经过了修改,以便支持IP电话、基于PC的IP电话、语音服务器、代理服务器、为WAN备份和本地呼叫推行的PSTN以及用于数据/语音分离的VLAN。

    中型边缘设计

    公司互联网模块为互联网用户提供了与互联网服务的连接,帮助互联网访问公共服务器上的信息。WAN模块通过专用网提供与远程连接。公司互联网模块无需修改就能支持IP电话。

    园区网模块

    园区网模块包括最终用户工作站、公司服务器、管理服务器以及支持设备所需的第2层和第3层相关基础设施。其主要目的是交换和管理流量,并为公司和用户的管理服务器提供连接。为支持IP电话,Cisco在IP电话、语音服务器、代理服务器、其他语音VLAN和呼叫处理器的基础上添加了状态防火墙,以便提供保护。

    1. 主要IP电话设备

    同小型网络设计相比,它增加了:

    ● 第3层交换机——在园区网模块内路由和交换数据、语音并管理流量,为大厦交换机提供分布层服务,支持流量过滤等服务。

    ● NIDS设备——NIDS设备为模块中的主要网段提供第4层到第7层监控。

    ● 状态防火墙——状态防火墙为呼叫处理管理器提供网络级保护,包括状态流量过滤、DoS预防和欺诈预防。

    2. 保护语音安全的措施

    同小型网络设计相比,它减少了“信任关系利用”,而增加了:

    ● IP欺诈——RFC 2827和1918过滤器放置在ISP边缘和本地防火墙路由器上。

    3.设计指南

    园区网交换机的主要功能是交换数据、管理语音流量,同时实施数据网和语音网分离。这些功能通过VLAN支持执行,并在第3层交换机和状态防火墙上进行双重过滤。病毒扫描可以保护数据网上基于PC的IP电话主机,HIDS则保护主要语音服务。

    第3层交换能够通过访问控制和无状态过滤控制数据网和语音网之间的访问。这些连接由状态防火墙代理。语音网和数据网之间的任何其他流量都将遭到第3层交换机或状态防火墙的拒绝,并记录在案。HIDS能探测到邮件、语音邮件和呼叫处理设备中的任何异常情况。病毒扫描安装在用户系统中,以便预防从数据网中对基于PC的IP电话发起的的攻击渗透到语音网。代理服务器与呼叫处理管理器处于同一个VLAN上,但用专用VLAN消除来自本地的攻击。

    为增加IP电话的高可用性,管理员可以添加弹性防火墙和呼叫处理管理器。还可将另一个DMZ网段中的语音邮件系统放置在状态防火墙上,它的缺点是增加了配置的复杂性。

    分支机构与独立配置

    在分支设计中,由于呼叫处理管理器位于远端,因此,第3层交换机的配置更加复杂。在分支设计中,网络性能可能因总部呼叫处理器响应速度慢而受到影响,呼叫通过WAN模块传输到总部。

相关文章