確保VPN、無(wú)線(xiàn)網(wǎng)及VoIP網(wǎng)絡(luò )的安全
2009/01/09
運用各種技術(shù),針對基于硬件的網(wǎng)絡(luò )基礎設施上構建的VPN、無(wú)線(xiàn)網(wǎng)絡(luò )和VoIP網(wǎng)絡(luò ),全面地提供安全性設計時(shí)需要考慮的事項。由于安全設計所使用的硬件產(chǎn)品多種多樣,并且根據硬件產(chǎn)品及其應用軟件版本的不同,命令語(yǔ)法也有差異,所以提供具體的配置說(shuō)明。
VPN完整性、機密性和可用性
VPN用來(lái)在公共網(wǎng)絡(luò )基礎設施上建立安全的,端到端的專(zhuān)用網(wǎng)絡(luò )連接。VPN技術(shù)并不是天然就具備安全性。不論任何VPN網(wǎng)絡(luò ),只有采用了適當的安全控制策略才稱(chēng)得上是安全的VPN網(wǎng)絡(luò )。采用何種方式創(chuàng )建安全的VPN網(wǎng)絡(luò ),很大程度上決定于采用的安全策略。VPN的安全策略與一般的安全策略即使不完全一致,也十分相似,因而人們首先考慮的問(wèn)題類(lèi)似于企業(yè)的一般的安全策略所面臨的問(wèn)題。需要對企業(yè)安全策略重新進(jìn)行審視,以決定是否需要針對企業(yè)中的VPN用戶(hù)作特殊的考慮和修改。需要確保所采用的安全機制的有效性(從管理者的角度)與其所提供的安全性之間取得一定的平衡。在制定VPN的安全策略時(shí),應重點(diǎn)針對VPN完整性、機密性和可用性方面考慮。
在這里的完整性是指對通信數據進(jìn)行校驗,以確保傳輸過(guò)程中沒(méi)有被改變并且經(jīng)過(guò)認證,IPSee本身提供了這種功能。在使用NAT的環(huán)境下,如果IP地址被包含在完整性檢查的內容中,就會(huì )出現問(wèn)題:我們通常采用這樣的機制,IP地址不作為完整性檢查內容的一部分。例如,在IPSee中,認證頭部信息(AH)很少被用來(lái)進(jìn)行完整性檢查。相反,ESP通常和MD5或SHAI一起使用,提供對于數據包的完整性檢查,并且對于使用了隧道模式的網(wǎng)絡(luò ),通常是檢查原始的首部而不是外部的IP首部。
如果一個(gè)IP地址偽裝成VPN類(lèi)型的通信,一般這種通信都會(huì )導致有線(xiàn)的拒絕服務(wù)(DoS)攻擊并占用有限的資源。大多數情況下,都假定IP地址是可信的,而且采用其他機制來(lái)防止潛在的DoS攻擊。
安全的VPN網(wǎng)絡(luò )總是要求對某些數據進(jìn)行進(jìn)行加密。你必須認真地選擇需要被加密的通信數據,因為服務(wù)器的處理能力是有限的。通常的做法是加密所有通往某一特定地址的通信數據,或者僅加密某個(gè)特定應用的數據。通常 使用IPSee對通信進(jìn)行加密。L2TP可以使用PPP加密,但是這是一種較為脆弱的加密方式,因此,L2TP往往與IPSee一起使用來(lái)提供機密性服務(wù)。注意在一般情況下,用戶(hù)需要修改PC/主機一方的最大通信單元(MTU),以避免接收設備無(wú)法處理的過(guò)大數據包。如果這種操作必要,則調整數據包的最大尺寸,保證它不超過(guò)未經(jīng)加密的以太網(wǎng)數據包的標準大小(1400字節),VPN應用一般都提供了定制MTU大小的選項。
VPN網(wǎng)絡(luò )有著(zhù)與其他網(wǎng)絡(luò )相同的需要,這就是要求最少的停機時(shí)間。可用性是指允許適當的冗余,并且在受到攻擊時(shí)有能力繼續傳送數據包。設置多大的冗余要依據風(fēng)險評估的結果而定。請注意,保護信息的費用遠超過(guò)使用信息的價(jià)值時(shí),就不需要過(guò)分地保護網(wǎng)絡(luò )設備或者信息。小型的公司可能沒(méi)有足夠的資金來(lái)購買(mǎi)冗余設備,而大型公司應該在所有關(guān)鍵的VPN結構中提供冗余設備。對于所有冗余設備,應該將配置為在某個(gè)連接或設備出現故障時(shí)自動(dòng)提供服務(wù)。
無(wú)線(xiàn)網(wǎng)絡(luò )整體設計及配置思路
要實(shí)現安全的無(wú)線(xiàn)網(wǎng)絡(luò ),用戶(hù)需要采用與VPN網(wǎng)絡(luò )相同的設計方法。多數情況下,無(wú)線(xiàn)網(wǎng)絡(luò )實(shí)際上是遠處訪(fǎng)問(wèn)VPN的一部分。下面不再重復與VPN相關(guān)的討論,只介紹與無(wú)線(xiàn)訪(fǎng)問(wèn)相關(guān)的特性和配置思路。
無(wú)線(xiàn)LAN的身份功能,包括認證和訪(fǎng)問(wèn)控制功能。使用EAP進(jìn)行認證的802.1x標準獲取了廣泛的認同,應當考慮與AAA機制聯(lián)合提供身份保護。通過(guò)使用WEP或TKIP,無(wú)線(xiàn)網(wǎng)絡(luò )提供數據包原始完整性。由于WEP的功能有限,實(shí)施無(wú)線(xiàn)網(wǎng)絡(luò )時(shí)最好有關(guān)于無(wú)線(xiàn)AP和客戶(hù)端的最新軟件來(lái)應用TKIP。WEP提供了機密性,但是該算法很容易被破解。而TKIP使用了更強的加密規則,可以提供更好的通信機密性。另外,一些實(shí)際應用可能會(huì )考慮采用IPSee ESP來(lái)提供一個(gè)安全的VPN隧道。
無(wú)線(xiàn)網(wǎng)絡(luò )有著(zhù)與其他網(wǎng)絡(luò )相同的需要,就是要求最少的停機時(shí)間。不管是由于DoS攻擊還是設備故障,無(wú)線(xiàn)基礎設施中的關(guān)鍵部分仍然要能夠提供無(wú)線(xiàn)客戶(hù)端訪(fǎng)問(wèn)。保證這項功能所花費資源的多少主要取決于保證無(wú)線(xiàn)網(wǎng)絡(luò )在房屋內正常運行的重要性。有些時(shí)候,比如在機場(chǎng)休息室或咖啡廳,不能給用戶(hù)提供訪(fǎng)問(wèn)只會(huì )給用戶(hù)帶來(lái)一點(diǎn)不方便。而一些公司越來(lái)越依賴(lài)于無(wú)線(xiàn)訪(fǎng)問(wèn)進(jìn)行商業(yè)運行,以此需要提供更富有彈性的服務(wù)來(lái)避免網(wǎng)絡(luò )癱瘓的情況發(fā)生。除了冗余的特性,如負載平衡和熱備用,無(wú)線(xiàn)網(wǎng)絡(luò )還有更多的可用性問(wèn)題需要考慮,主要是關(guān)于信號強度的損失以及相關(guān)訪(fǎng)問(wèn)點(diǎn)(AP)的連通性丟失等問(wèn)題。通過(guò)迅速與另一個(gè)訪(fǎng)問(wèn)點(diǎn)重新建立安全的連接,可以減少丟失的會(huì )話(huà),可以很大程度地提高可用性。
審計工作是確定無(wú)線(xiàn)網(wǎng)絡(luò )配置是否適當的必要步驟。如果對通信數據進(jìn)行加密,則不要只依賴(lài)計數器來(lái)現實(shí)通信數據正在被加密。就像在VPN網(wǎng)絡(luò )中一樣,應該在網(wǎng)絡(luò )中使用通信分析器來(lái)檢查通信的機密性,并保證任何有意無(wú)意嗅探網(wǎng)絡(luò )的用戶(hù)不能看到通信的內容。為了實(shí)現對網(wǎng)絡(luò )的審計,網(wǎng)絡(luò )管理員需要一整套方法來(lái)配置、收集、存儲和檢索網(wǎng)絡(luò )中所有AP及網(wǎng)橋的信息。網(wǎng)絡(luò )管理者必須有能力配置AP和網(wǎng)橋,監控無(wú)線(xiàn)局域網(wǎng)(WLAN)設施的性能和可用性,并生成容量計劃和客戶(hù)追蹤報告。能夠同時(shí)對多個(gè)AP上的軟件進(jìn)行升級或降低也是很重要的。
一個(gè)典型的安全無(wú)線(xiàn)網(wǎng)絡(luò ),實(shí)際上是對遠程訪(fǎng)問(wèn)VPN的擴展,在無(wú)線(xiàn)網(wǎng)絡(luò )中,用戶(hù)成功通過(guò)認證后,可以從RADIUS服務(wù)器獲取特定的網(wǎng)絡(luò )訪(fǎng)問(wèn)模塊,并從中分配到用戶(hù)的IP。在無(wú)線(xiàn)用戶(hù)連接交換機并訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò )前,802.1x和EAP軟件提供了對無(wú)線(xiàn)設備和用戶(hù)的認證。另外,如果需要加密數據,應在無(wú)線(xiàn)客戶(hù)端和VPN集中器之間使用IPSee。小型網(wǎng)絡(luò )也許僅采用WEP對AP和無(wú)線(xiàn)客戶(hù)端之間的信息進(jìn)行加密,而IPSee提供了更優(yōu)越的解決方案。Cisco Works的WLSE/RMS解決方案可以用來(lái)管理WLAN。同樣,在網(wǎng)絡(luò )邊界安裝入侵檢測設備,可以幫助檢測網(wǎng)絡(luò )通信,檢測對企業(yè)網(wǎng)絡(luò )的潛在攻擊。
IP語(yǔ)音網(wǎng)絡(luò )(VoIP)安全設計重點(diǎn)方向
VoIP與其他VPN網(wǎng)絡(luò )有相似的設計方法,也需要考慮與VPN網(wǎng)絡(luò )相似的因素。VoIP網(wǎng)絡(luò )的安全設計的重要方向應該放在對身份的認證、訪(fǎng)問(wèn)控制和VoIP的可用性方面。
目前多數IP電話(huà)只提供了對設備認證,而用戶(hù)認證方面正在發(fā)展中。Cisco H.323網(wǎng)關(guān)支持使用散列密碼的加密令牌來(lái)進(jìn)行認證。加密令牌可以在VoIP網(wǎng)關(guān)和網(wǎng)守(gatekeeper)間的任何RAS消息中使用,可以用于認證消息的發(fā)送者。如果可能的話(huà),我們應當為用戶(hù)ID和密碼校驗使用不同的數據庫。注冊請求(RRQ)、取消注冊請求(URQ)、脫離請求(DRQ)以及終止方的請求(ARQ)中的加密令牌中含有產(chǎn)生該令牌的網(wǎng)關(guān)的相關(guān)信息,包括網(wǎng)關(guān)ID(即在網(wǎng)關(guān)上配置的H.323 ID)以及網(wǎng)關(guān)密碼。初始方ARQ消息的加密令牌包含了發(fā)起呼叫用戶(hù)的信息,包括用戶(hù)ID和PIN。該功能通過(guò)使用網(wǎng)關(guān)RAS消息中的認證密鑰提供了對發(fā)送者的驗證。網(wǎng)守使用該密鑰來(lái)認證消息的來(lái)源并保證通信的安全性。
由于動(dòng)態(tài)實(shí)時(shí)傳輸協(xié)議及RTP控制協(xié)議(RTOP/RTCOP)的端口被語(yǔ)音電話(huà)的終端占用,所以防火墻可能會(huì )引起某種問(wèn)題,除非它們可以識別聲音通信并動(dòng)態(tài)的允許這種通信。在控制訪(fǎng)問(wèn)中使用Cisco PIX安全防火墻,在使用時(shí)應該注意兩點(diǎn):一、如果防火墻代理安裝在未實(shí)施保護措施的防火墻外的網(wǎng)絡(luò ),且有記錄路由功能,則允許訪(fǎng)問(wèn)的IP地址列表應該很小且是可管理的。地址列表是由外部SIP代理服務(wù)器的IP地址構成的。以此獲得可控的安全性。二、外部用戶(hù)不能呼叫防火墻內部的網(wǎng)絡(luò ),除非這些用戶(hù)被明確允許。另外在VoIP網(wǎng)絡(luò )中提供訪(fǎng)問(wèn)控制非常有用的Cisco IOS軟件的功能有支持SIP的防火墻、無(wú)令牌呼叫認證、為MGCP綁定特定網(wǎng)關(guān)接口和SIP綁定特定的網(wǎng)關(guān)接口。
VoIP網(wǎng)絡(luò )和其他網(wǎng)絡(luò )要求相似,需要最小的停機時(shí)間,甚至在遭受DoS攻擊時(shí)仍能提供通話(huà)服務(wù)。如果VoIP服務(wù)成為某個(gè)給定網(wǎng)絡(luò )環(huán)境下通信的關(guān)鍵性設施,那么在VoIP的網(wǎng)絡(luò )基礎設施中不允許存在任何單點(diǎn)失效點(diǎn)。提供專(zhuān)門(mén)基于電話(huà)的冗余功能,SRS(Survivable Remote Site)電話(huà)功能結合本地網(wǎng)路上的路由和呼叫管理(Call Manager,CM)為IP電話(huà)提供了可靠的支持。當IP電話(huà)與遠程配置的主、二級或者第三級的CM失去連接或者WAN連接中斷時(shí),該功能使用本地網(wǎng)絡(luò )的路由器來(lái)處理IP電話(huà)的呼叫。
總結
確保VPN、無(wú)線(xiàn)及VoIP網(wǎng)絡(luò )的安全時(shí)要考慮的各種因素以及相關(guān)的技術(shù)。同時(shí)利用有效的功能結合實(shí)際情況來(lái)配置高效安全的VPN、無(wú)線(xiàn)及VoIP網(wǎng)絡(luò )。無(wú)線(xiàn)和VoIP網(wǎng)絡(luò )的許多安全技術(shù)還在發(fā)展之中,應該考慮在網(wǎng)絡(luò )中使用更新版本的軟件,以實(shí)現最新的安全功能。
ZDnet (www.zdnet.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
建宁县|
韶关市|
平阴县|
鹤峰县|
资源县|
成武县|
玉田县|
双桥区|
木兰县|
开阳县|
辽宁省|
枝江市|
木里|
永兴县|
天水市|
繁昌县|
新田县|
项城市|
凤山县|
炉霍县|
炉霍县|
宁陵县|
日照市|
郎溪县|
新干县|
通山县|
榆社县|
宁城县|
安新县|
留坝县|
茂名市|
木兰县|
辰溪县|
和硕县|
封丘县|
昌黎县|
高密市|
焉耆|
伊金霍洛旗|
始兴县|
新巴尔虎右旗|
http://444
http://444
http://444
http://444
http://444
http://444