- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
统一通讯(UC)系统搭建中的网络安全考虑
今天,统一通讯是个热点话题,这是因为,IP语音通信和融合多媒体解决方案可通过为最终用户提供灵活的业务套餐和更多移动业务,适应企业组织变革,降低运营成本并提高效率。但是,随着网络入侵事件的日益增多,企业和业务提供商始终都担心它们是否能够满足这些新的IP电话和多媒体系统对安全性和可靠性要求。是的,开放性和普遍性固然使IP网络成为强大的业务工具,但也同时为它带来了巨大的安全隐患。在将合法用户接入网络的端口和门户时,网络黑客和那些为了个人利益或出于恶意而企图侵占网络资源的攻击者也同时乘虚而入。攻击者可以通过使用IP地址欺骗、拒绝服务(DoS)攻击、后门入口等工具和技术入侵网络,达到破坏服务、盗用服务和窃取机密信息等目的。
毋宁质疑,我们在搭建安全可靠的端对端网络方面,如何为业务提供商和企业的这些系统提供安全保护,是一个必须面对的问题。
为IP电话和多媒体系统提供安全保护
为了应对这些攻击,我们采用那些在通信服务器或企业通信管理器产品系列开发出相应的IP电话解决方案,以满足业务提供商在运行、可靠性和性能方面的严格要求,并服务于个人和企业用户、小型企业、政府机构和那些为最终用户提供服务的企业。
这些IP电话解决方案还能得到进一步增强,以便通通信服务器的支持,提供融合多媒体解决方案,包括实时视频、安全即时消息、应用共享、白板和在线状态等,它们既可以是专用解决方案也可以是托管解决方案。新兴的融合多媒体解决方案正成为提高企业生产力的基本工具,同时还能提升个人和企业用户的通信体验。
在保护多媒体服务器、应用服务器和网关设备方面,在产品研发及实施阶段遵循多个原则,以确保IP电话和多媒体通信系统的完整性以及用户信息的保密性。这些原则包括:
• 多媒体安全解决方案必须符合网络操作者的安全策略,不论该操作者是某个企业的IT组织还是一个业务提供商。
• 必须在数据层面为IP网络提供安全保护,并且所采用的任何安全机制必须能够在如下环境内运行:具有严格的VoIP和多媒体实时性能要求,以及极高的时延/抖动(端到端小于150毫秒)和丢包率(接近0%)要求。
• 业务关键型通信服务器以及相关的信令和控制系统必须具备物理安全性,并得到保护以防范内外攻击。
• 力求在不同设备上以及有线和无线接入模式下实现的易用性和一致的用户体验也必须得到实现,并且必须对各种认证方式和加密技术透明。
• 所有多媒体产品对各种标准的支持将确保能够满足业务提供商和企业在功能和互通性方面的要求。
• 必须在整个多媒体环境中采用一种整体的安全方法,以便实现业务提供商之间、企业之间、公网和专网之间的互通。
企业所采取的IP电话和多媒体系统保护战略,要采用一种例如分层安全防护方法,它是网络安全体系结构遵循的一个重要原则。确保多媒体系统和网络安全的分层防护方法能够避免网络上的任何单点故障。通过在网络的多个区域采用多种强制安全策略的方法可以实现分层防护,而且还可利用符合标准的解决方案对其提供支持。这种方法与传统的IT方法不同,后者主要通过防火墙为网络边界提供保护。
除了将最佳实践应用于保护整个IP网络外,我们的VoIP和多媒体解决方案还在分层体系结构中提供具体的多媒体安全功能,包括设备级安全、边界保护、端点的策略符合性和网络级保护、以及应用级安全。
设备级安全
在设备级,负责提供统一消息、呼叫中心和CTI业务我们的IP电话服务器、多媒体服务器和应用服务器要能将将管理功能与业务功能分开、严格的访问控制、以及用户认证、授权和计费。
同时我们的方案最好在不同的语音、多媒体和应用服务器中采用些基本的安全方法,以确保关闭所有任何可能被攻击者利用的后门程序。例如:
• 关闭不用的端口(如用于控制台或远程调制解调器访问的端口);
• 只允许使用经过授权的应用软件;
• 支持针对操作人员设置多级权限(如监视、配置和控制权限);
• 安全地保存用户密码;
• 对密码格式和管理变更进行严格控制;
• 可使用VPN路由器对管理业务(如计费信息)进行加密,即使这些信息只在内部传输。
边界保护
网络边界保护针对的是位于一个被称之为安全多媒体区域的VoIP和多媒体资源。这种保护可确保只允许合法的多媒体业务、信令业务和管理业务进入这一区域。
安全多媒体区域采用安全多媒体控制器等产品在通信和多媒体服务器周围设置一道"安全防护栏",以保护这些设备免遭内外攻击。可以针对业务提供商和企业采取不同的方法,这是因为业务提供商通常允许用户通过开放的互联网访问它们的VoIP系统,而企业主要关心如何在在一个相对安全的企业内部网上进行部署,并通过安全隧道的延伸实现远程和移动接入。
端点的策略符合性和保护
无论是应用于本地或远端的有线或无线IP话机,还是应用于PC和PDA中的软件客户端,端点的策略符合性可确保只有通过认证的用户和符合操作者定义的安全策略的终端设备才能接入网络,并且这些设备只能使用经过授权的应用和网络资源。
目前,采用符合行业标准的HTTP Digest认证方式对多媒体用户进行认证,从而防止未知设备伪装成一台IP话机,或防止一台IP话机进入一个未经授权的网络端口。我们使用的以太网交换机、以太网路由交换机和WLAN安全交换机不仅要支持802.1x/EAP认证,而且还支持媒体访问控制(MAC)地址过滤,作为访问控制的另一种形式。
对于IP电话软件客户端,解决方案需支持IPsec VPN认证,并支持通过一个SSL(安全套接字层)VPN提交用户名和认证信息。IPsec是互联网工程工作小组(IETF)定义的一套安全协议,它们通过加密、认证、保密、数据完整性、防回放保护和防业务流分析来保护IP通信业务。
IPsec SSL VPN连接可利用SNA解决方案查询本地或远程接入设备,以确保它们符合企业的安全策略,如防火墙和防病毒软件的最新定义。在VPN中,SNA解决方案采用隧道防护(TG)技术。一些VPN产品系列几年前就开始采用这一独特技术,让企业能够灵活采用以下方式确保端点安全:在安装VPN客户端时安装一个代理,或者将代理下载到试图建立一个SSL VPN连接的设备上。
不仅如此,SSL还与第三方厂商通过一个开放的应用程序接口(API)相互作用。如果某个设备不符合安全策略,可以将其放置在一个用于纠正的VLAN内,直到其符合安全策略为止。
应用级安全
确保语音通信的保密性是IP电话系统抗衡传统TDM系统的一个关键因素。
当今的交换式以太网内部体系结构-连同语音VLAN、地址解析协议(ARP)防欺骗等协议控制技术、以及安全的配线柜-的确能够使内部IP呼叫与TDM呼叫一样安全。
为了确保通往PSTN的外部IP呼叫的安全,一个媒体网关首先要将数据包转换成一个TDM呼叫,从而实现等同于TDM环境下的呼叫安全。
几乎所有客户都认为任何通过互联网传输的业务-无论语音和数据业务或通过有线和无线方式接入的业务-都是不安全的,并且容易遭受探测攻击。由于存在这种担心,人们通常采用SSL技术保护用户认证和金融交易信息等重要的信息,并采用IPsec VPN技术确保企业远程办公站点和分支机构的接入安全。我们采用IPsec和SSL VPN解决方案完全能够确保企业内部网上远程办公人员、移动工作人员、分支机构和远程办公室的IP电话呼叫安全。
在低风险的内部IP呼叫和高风险的互联网/无线IP呼叫之间是一种极易遭受窃听的业务:拨入式电话会议。
我们采用的系统产品通常要可以通过一个主持人可视面板提供一整套易用的拨入式电话会议安全功能。主持人可以使用该面板查询参加和退出会议呼叫的人员,甚至可以要求参加者二次输入密码进行从新认证。所有这些功能都极大增强了传统和IP电话通信环境的安全性。
对于想要确保VoIP和多媒体系统最高安全的客户,我们的服务实施团队要可以为客户提供设计和集成服务,包括评估现有网络体系结构(包括与客户相关人员共同召开协作会议和进行项目规划),提供一个详细的安全体系结构计划,并针对VoIP和/或多媒体解决方案以及具体的部署要求提供网络结构图。
作者:周建中 王秀生 温晓江 来源:网络通信中国
上一篇:破解绿色网络密码
下一篇:基于IP网络的数字音视频监控系统设计与实现