如何做好局域網(wǎng)安全保護(hù) 從VoIP安全說起

最近我聽說了比較多的有關(guān)新型局域網(wǎng)攻擊的消息,例如VoIP攻擊,或者使用打印機(jī)作為攻擊源的探測。那么局域網(wǎng)安全措施如何保護(hù)我們免受這些攻擊困擾呢?

這些攻擊正在上升,這絕對是個(gè)事實(shí)。實(shí)際上,SANs研究機(jī)構(gòu)最近將客戶端攻擊列為當(dāng)今最為嚴(yán)重的弱點(diǎn)之一。然而如果我們中的任何人認(rèn)為我們可以充分保護(hù),免受此類攻擊的話,那么就是有勇無謀的了,當(dāng)有攻擊威脅到你的企業(yè)的時(shí)候,你當(dāng)然可以有一些強(qiáng)有力的措施來減輕威脅。

要采用的第一個(gè)步驟就是在你的局域網(wǎng)中實(shí)現(xiàn)一個(gè)認(rèn)證的機(jī)制,這個(gè)局域網(wǎng)中包括了設(shè)備還有用戶。如果你購買了一些類似802.1x的產(chǎn)品,它們并不充分,因?yàn)殡娫、打印機(jī)、體檢設(shè)備,機(jī)器人,以及其他一些設(shè)備絕大部分都不支持802.1x的要求。

你需要一種方式去確保你知道每個(gè)插入網(wǎng)絡(luò)的非用戶設(shè)備,你也會(huì)知道它是什么樣的設(shè)備。尋找一種認(rèn)證方式,讓你可以將你的某些特定的設(shè)備列入優(yōu)良者名單,或者更好是,幫助你自動(dòng)識(shí)別那些設(shè)備,通過使用反向DNS來講設(shè)備名與設(shè)備類型聯(lián)系起來。

接下來,你需要一種方式將這些非用戶設(shè)備放入一個(gè)角色,并給這個(gè)角色分配訪問權(quán)限。例如,你可以訂一個(gè)打印機(jī)角色,可以應(yīng)用給你的環(huán)境中的所有的打印機(jī)和打印機(jī)服務(wù)器。至于訪問權(quán)限,你可以指定打印機(jī)只能與打印機(jī)服務(wù)器通訊,所有的用戶設(shè)備都只能夠與打印機(jī)服務(wù)器進(jìn)行通訊。通過這種類型的策略,你可以訪問用戶設(shè)備和打印機(jī)之間的直接通訊。

在VoIP方面也類似,你可以指定VoIP電話給VoIP角色,然后定義這些VoIP電話只可以與呼叫管理器通訊。你甚至可以使用基于應(yīng)用的策略來超越這種基于地域的保護(hù)。例如,你可以說,具有VoIP角色的設(shè)備應(yīng)該只使用SIP,H.323,或者SKINNY來進(jìn)行通信,例如,更進(jìn)一步地保護(hù)免受基于數(shù)據(jù)的攻擊。

這種類型的領(lǐng)域劃分在保護(hù)電話、打印機(jī)或者其他可能作為攻擊發(fā)起點(diǎn)的設(shè)備方面非常有幫助。例如,被約束的打印機(jī),并且有漏洞掃描軟件安裝在上面的話,它是不會(huì)被尋找開放端口的所有網(wǎng)絡(luò)設(shè)備觸及的。還有VoIP電話不能用于發(fā)起一個(gè)針對其他服務(wù)器或者終端用戶機(jī)器的攻擊;通過應(yīng)用保護(hù),它甚至不能使用數(shù)據(jù)協(xié)議攻擊呼叫管理器。

那么你用何種方式能夠獲得這樣的局域網(wǎng)安全保護(hù)呢?你有很多選擇。下一代局域網(wǎng)交換機(jī),帶有802.1x之外的認(rèn)證,可以對用戶和設(shè)備應(yīng)用基于策略的訪問控制,這是將這種能力直接引入你的局域網(wǎng)的非常不錯(cuò)的方式。如果你還不想升級(jí)交換機(jī),那么考慮一下具有認(rèn)證用戶和設(shè)備能力,能夠給設(shè)備自動(dòng)分配角色,并且可以根據(jù)領(lǐng)域和應(yīng)用采用基于策略的控制的安全設(shè)備。

無論是選擇了訪問交換或者設(shè)備,關(guān)鍵是要把保護(hù)正確應(yīng)用到局域網(wǎng)的用戶邊緣上。這個(gè)地點(diǎn)對于減少這些基于客戶的攻擊是至關(guān)重要的。否則,你就沒有工具在他們開始的地方去阻斷運(yùn)輸流量。

作者:Emma 來源:IT專家網(wǎng)


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動(dòng):6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動(dòng)算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

      最新招聘信息