- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
穿越VoIP安全“雷区”
最近听到越来越多的局域网上的新型攻击,诸如IP语音电话攻击或利用打印机作为攻击源的攻击。那么,局域网安全如何防止此类情况的发生呢?
毋庸置疑的是,此类攻击正在上升。事实上,美国计算机安全组织系统网络安全协会(SANS Institute)最近已把这些客户端攻击列为最关键的安全隐患。虽然对于我们所有人来讲,认为完全杜绝此类攻击是愚鲁的,不过,我们仍然可以选择强有力的办法来减少此类攻击。
首先采取的步骤是,在一个包含众多设备及用户的局域网内实施一个认证方案。如果一直采用的是802.1X协议的话,仅仅这样做是不够的,因为电话、打印机、医疗设备,机器人等大部分的其他设备无法支持该协议。这就需要一个途径,确保你所知的每一个非用户设备都连接在网络上并了解此设备的类型。需要寻求一个认证方法,使得每一个具体已知设备都列入认证名单。如能利用反向域名解析(reverse DNS)来关联设备名称和类型从而自动识别这些设备那将更加完美。
接下来,需要给非用户设备设置角色并分配权限。举例说明,可以在你的网络中定义一个适用于所有打印机和打印服务器的角色,至于访问权限,可以指定打印机只能和打印服务器通信,而其他用户设备也只能和打印服务器通信。(打印机和其他设备之间没有通信权限)
同样,在VoIP方面,可以赋予VoIP电话以VoIP的角色,并定义这些电话只与网络电话管理员(call manager)通信。你甚至可以超越这种基于应用策略的分区保护模式。例如,可将扮演VoIP角色的设备只在SIP, H.323, 或是 SKINNY协议下通信,从而进一步防范基于数据的攻击。此种分区机制非常有助于防止电话,打印机或是其他设备发起的攻击。例如,一个装有漏洞扫描软件且处于险境的打印机,无法接触任何网络设备找到公共端口。同样,一个VoIP电话也无法对其他服务器或是用户终端发起攻击,在应用保护的情况下,它甚至无法攻击使用数据协议的网络电话管理员。
有两种选择可以实现这样的局域网安全保障。一种是使用新一代的局域网交换机,这种交换机在认证方面优于802.1X,具备对用户和设备基于应用策略的访问控制能力,选用这种方式组网,网络便直接获得了这种能力。如不考虑升级交换机,则考虑具备认证用户和设备能力的安全应用程序,且要能够自动设定角色并通过分区和申请提供基于应用策略的访问控制。
无论选择访问交换机还是应用程序,最关键的是在局域网的周边提供恰当的 保护,这个位置对于减少客户端的攻击至关重要。否则,一旦攻击开始你将没有任何工具能够阻止。
来源:IT专家网