統一通信系統中安全的五個法門
統一通信是個熱門話題,很多網民對此有所不理解,其實說白了統一通信(簡稱UC即Unified Communications ):把計算機技術與傳統通信技術融合一體的新通信模式,既融合計算機網絡與傳統通信網絡在一個網絡平臺上,實現電話、傳真、數據傳輸、音視頻會議、呼叫中心、即時通信等眾多應用服務。而在融合通信中,網絡電話(VoIP)是其中的重點。因此也叫“三網融合”。
開放性和普遍性固然使IP網絡成為強大的業務工具,但也同時為它帶來了巨大的安全隱患。在將合法用戶接入網絡的端口和門戶時,網絡黑客和那些為了個人利益或出于惡意而企圖侵占網絡資源的攻擊者也同時乘虛而入。攻擊者可以通過使用IP地址欺騙、拒絕服務(DoS)攻擊、后門入口等工具和技術入侵網絡,達到破壞服務、盜用服務和竊取機密信息等目的。
毋寧質疑,我們在搭建安全可靠的端對端網絡方面,如何為業務提供商和企業的這些系統提供安全保護,是一個必須面對的問題。
為IP電話和多媒體系統提供安全保護
為了應對這些攻擊,我們采用那些在通信服務器或企業通信管理器產品系列開發出相應的IP電話解決方案,以滿足業務提供商在運行、可靠性和性能方面的嚴格要求,并服務于個人和企業用戶、小型企業、政府機構和那些為最終用戶提供服務的企業。
這些IP電話解決方案還能得到進一步增強,以便通通信服務器的支持,提供融合多媒體解決方案,包括實時視頻、安全即時消息、應用共享、白板和在線狀態等,它們既可以是專用解決方案也可以是托管解決方案。新興的融合多媒體解決方案正成為提高企業生產力的基本工具,同時還能提升個人和企業用戶的通信體驗。
在保護多媒體服務器、應用服務器和網關設備方面,在產品研發及實施階段遵循多個原則,以確保IP電話和多媒體通信系統的完整性以及用戶信息的保密性。這些原則包括:
◆ 多媒體安全解決方案必須符合網絡操作者的安全策略,不論該操作者是某個企業的IT組織還是一個業務提供商。
◆ 必須在數據層面為IP網絡提供安全保護,并且所采用的任何安全機制必須能夠在如下環境內運行:具有嚴格的VoIP和多媒體實時性能要求,以及極高的時延/抖動(端到端小于150毫秒)和丟包率(接近0%)要求。
◆ 業務關鍵型通信服務器以及相關的信令和控制系統必須具備物理安全性,并得到保護以防范內外攻擊。
◆ 力求在不同設備上以及有線和無線接入模式下實現的易用性和一致的用戶體驗也必須得到實現,并且必須對各種認證方式和加密技術透明。
◆ 所有多媒體產品對各種標準的支持將確保能夠滿足業務提供商和企業在功能和互通性方面的要求。
◆ 必須在整個多媒體環境中采用一種整體的安全方法,以便實現業務提供商之間、企業之間、公網和專網之間的互通。
企業所采取的IP電話和多媒體系統保護戰略,要采用一種例如分層安全防護方法,它是網絡安全體系結構遵循的一個重要原則。確保多媒體系統和網絡安全的分層防護方法能夠避免網絡上的任何單點故障。通過在網絡的多個區域采用多種強制安全策略的方法可以實現分層防護,而且還可利用符合標準的解決方案對其提供支持。這種方法與傳統的IT方法不同,后者主要通過防火墻為網絡邊界提供保護。
除了將最佳實踐應用于保護整個IP網絡外,我們的VoIP和多媒體解決方案還在分層體系結構中提供具體的多媒體安全功能,包括設備級安全、邊界保護、端點的策略符合性和網絡級保護、以及應用級安全。 #p#
設備級安全
在設備級,負責提供統一消息、呼叫中心和CTI業務我們的IP電話服務器、多媒體服務器和應用服務器要能將將管理功能與業務功能分開、嚴格的訪問控制、以及用戶認證、授權和計費。
同時我們的方案最好在不同的語音、多媒體和應用服務器中采用些基本的安全方法,以確保關閉所有任何可能被攻擊者利用的后門程序。例如:
◆ 關閉不用的端口(如用于控制臺或遠程調制解調器訪問的端口);
◆ 只允許使用經過授權的應用軟件;
◆ 支持針對操作人員設置多級權限(如監視、配置和控制權限);
◆ 安全地保存用戶密碼;
◆ 對密碼格式和管理變更進行嚴格控制;
◆ 可使用VPN路由器對管理業務(如計費信息)進行加密,即使這些信息只在內部傳輸。
邊界保護
網絡邊界保護針對的是位于一個被稱之為安全多媒體區域的VoIP和多媒體資源。這種保護可確保只允許合法的多媒體業務、信令業務和管理業務進入這一區域。
安全多媒體區域采用安全多媒體控制器等產品在通信和多媒體服務器周圍設置一道“安全防護欄”,以保護這些設備免遭內外攻擊。可以針對業務提供商和企業采取不同的方法,這是因為業務提供商通常允許用戶通過開放的互聯網訪問它們的VoIP系統,而企業主要關心如何在在一個相對安全的企業內部網上進行部署,并通過安全隧道的延伸實現遠程和移動接入。 #p#
端點的策略符合性和保護
無論是應用于本地或遠端的有線或無線IP話機,還是應用于PC和PDA中的軟件客戶端,端點的策略符合性可確保只有通過認證的用戶和符合操作者定義的安全策略的終端設備才能接入網絡,并且這些設備只能使用經過授權的應用和網絡資源。
目前,采用符合行業標準的HTTP Digest認證方式對多媒體用戶進行認證,從而防止未知設備偽裝成一臺IP話機,或防止一臺IP話機進入一個未經授權的網絡端口。我們使用的以太網交換機、以太網路由交換機和WLAN安全交換機不僅要支持802.1x/EAP認證,而且還支持媒體訪問控制(MAC)地址過濾,作為訪問控制的另一種形式。
對于IP電話軟件客戶端,解決方案需支持IPsec VPN認證,并支持通過一個SSL(安全套接字層)VPN提交用戶名和認證信息。IPsec是互聯網工程工作小組(IETF)定義的一套安全協議,它們通過加密、認證、保密、數據完整性、防回放保護和防業務流分析來保護IP通信業務。
IPsec SSL VPN連接可利用SNA解決方案查詢本地或遠程接入設備,以確保它們符合企業的安全策略,如防火墻和防病毒軟件的最新定義。在VPN中,SNA解決方案采用隧道防護(TG)技術。一些VPN產品系列幾年前就開始采用這一獨特技術,讓企業能夠靈活采用以下方式確保端點安全:在安裝VPN客戶端時安裝一個代理,或者將代理下載到試圖建立一個SSL VPN連接的設備上。
不僅如此,SSL還與第三方廠商通過一個開放的應用程序接口(API)相互作用。如果某個設備不符合安全策略,可以將其放置在一個用于糾正的VLAN內,直到其符合安全策略為止。
應用級安全
確保語音通信的保密性是IP電話系統抗衡傳統TDM系統的一個關鍵因素。
當今的交換式以太網內部體系結構-連同語音VLAN、地址解析協議(ARP)防欺騙等協議控制技術、以及安全的配線柜-的確能夠使內部IP呼叫與TDM呼叫一樣安全。
為了確保通往PSTN的外部IP呼叫的安全,一個媒體網關首先要將數據包轉換成一個TDM呼叫,從而實現等同于TDM環境下的呼叫安全。
幾乎所有客戶都認為任何通過互聯網傳輸的業務-無論語音和數據業務或通過有線和無線方式接入的業務-都是不安全的,并且容易遭受探測攻擊。由于存在這種擔心,人們通常采用SSL技術保護用戶認證和金融交易信息等重要的信息,并采用IPsec VPN技術確保企業遠程辦公站點和分支機構的接入安全。我們采用IPsec和SSL VPN解決方案完全能夠確保企業內部網上遠程辦公人員、移動工作人員、分支機構和遠程辦公室的IP電話呼叫安全。
在低風險的內部IP呼叫和高風險的互聯網/無線IP呼叫之間是一種極易遭受竊聽的業務:撥入式電話會議。
我們采用的系統產品通常要可以通過一個主持人可視面板提供一整套易用的撥入式電話會議安全功能。主持人可以使用該面板查詢參加和退出會議呼叫的人員,甚至可以要求參加者二次輸入密碼進行從新認證。所有這些功能都極大增強了傳統和IP電話通信環境的安全性。
對于想要確保VoIP和多媒體系統最高安全的客戶,我們的服務實施團隊要可以為客戶提供設計和集成服務,包括評估現有網絡體系結構(包括與客戶相關人員共同召開協作會議和進行項目規劃),提供一個詳細的安全體系結構計劃,并針對VoIP和/或多媒體解決方案以及具體的部署要求提供網絡結構圖。
【編輯推薦】
