統(tǒng)一通訊(UC)系統(tǒng)搭建中的網(wǎng)絡安全考慮

相關專題: 無線

今天,統(tǒng)一通訊是個熱點話題,這是因為,IP語音通信和融合多媒體解決方案可通過為最終用戶提供靈活的業(yè)務套餐和更多移動業(yè)務,適應企業(yè)組織變革,降低運營成本并提高效率。但是,隨著網(wǎng)絡入侵事件的日益增多,企業(yè)和業(yè)務提供商始終都擔心它們是否能夠滿足這些新的IP電話和多媒體系統(tǒng)對安全性和可靠性要求。是的,開放性和普遍性固然使IP網(wǎng)絡成為強大的業(yè)務工具,但也同時為它帶來了巨大的安全隱患。在將合法用戶接入網(wǎng)絡的端口和門戶時,網(wǎng)絡黑客和那些為了個人利益或出于惡意而企圖侵占網(wǎng)絡資源的攻擊者也同時乘虛而入。攻擊者可以通過使用IP地址欺騙、拒絕服務(DoS)攻擊、后門入口等工具和技術入侵網(wǎng)絡,達到破壞服務、盜用服務和竊取機密信息等目的。

毋寧質(zhì)疑,我們在搭建安全可靠的端對端網(wǎng)絡方面,如何為業(yè)務提供商和企業(yè)的這些系統(tǒng)提供安全保護,是一個必須面對的問題。

為IP電話和多媒體系統(tǒng)提供安全保護

為了應對這些攻擊,我們采用那些在通信服務器或企業(yè)通信管理器產(chǎn)品系列開發(fā)出相應的IP電話解決方案,以滿足業(yè)務提供商在運行、可靠性和性能方面的嚴格要求,并服務于個人和企業(yè)用戶、小型企業(yè)、政府機構和那些為最終用戶提供服務的企業(yè)。

這些IP電話解決方案還能得到進一步增強,以便通通信服務器的支持,提供融合多媒體解決方案,包括實時視頻、安全即時消息、應用共享、白板和在線狀態(tài)等,它們既可以是專用解決方案也可以是托管解決方案。新興的融合多媒體解決方案正成為提高企業(yè)生產(chǎn)力的基本工具,同時還能提升個人和企業(yè)用戶的通信體驗。

在保護多媒體服務器、應用服務器和網(wǎng)關設備方面,在產(chǎn)品研發(fā)及實施階段遵循多個原則,以確保IP電話和多媒體通信系統(tǒng)的完整性以及用戶信息的保密性。這些原則包括:

• 多媒體安全解決方案必須符合網(wǎng)絡操作者的安全策略,不論該操作者是某個企業(yè)的IT組織還是一個業(yè)務提供商。

• 必須在數(shù)據(jù)層面為IP網(wǎng)絡提供安全保護,并且所采用的任何安全機制必須能夠在如下環(huán)境內(nèi)運行:具有嚴格的VoIP和多媒體實時性能要求,以及極高的時延/抖動(端到端小于150毫秒)和丟包率(接近0%)要求。

• 業(yè)務關鍵型通信服務器以及相關的信令和控制系統(tǒng)必須具備物理安全性,并得到保護以防范內(nèi)外攻擊。

• 力求在不同設備上以及有線和無線接入模式下實現(xiàn)的易用性和一致的用戶體驗也必須得到實現(xiàn),并且必須對各種認證方式和加密技術透明。

• 所有多媒體產(chǎn)品對各種標準的支持將確保能夠滿足業(yè)務提供商和企業(yè)在功能和互通性方面的要求。

• 必須在整個多媒體環(huán)境中采用一種整體的安全方法,以便實現(xiàn)業(yè)務提供商之間、企業(yè)之間、公網(wǎng)和專網(wǎng)之間的互通。

企業(yè)所采取的IP電話和多媒體系統(tǒng)保護戰(zhàn)略,要采用一種例如分層安全防護方法,它是網(wǎng)絡安全體系結構遵循的一個重要原則。確保多媒體系統(tǒng)和網(wǎng)絡安全的分層防護方法能夠避免網(wǎng)絡上的任何單點故障。通過在網(wǎng)絡的多個區(qū)域采用多種強制安全策略的方法可以實現(xiàn)分層防護,而且還可利用符合標準的解決方案對其提供支持。這種方法與傳統(tǒng)的IT方法不同,后者主要通過防火墻為網(wǎng)絡邊界提供保護。

除了將最佳實踐應用于保護整個IP網(wǎng)絡外,我們的VoIP和多媒體解決方案還在分層體系結構中提供具體的多媒體安全功能,包括設備級安全、邊界保護、端點的策略符合性和網(wǎng)絡級保護、以及應用級安全。

設備級安全

在設備級,負責提供統(tǒng)一消息、呼叫中心和CTI業(yè)務我們的IP電話服務器、多媒體服務器和應用服務器要能將將管理功能與業(yè)務功能分開、嚴格的訪問控制、以及用戶認證、授權和計費。

同時我們的方案最好在不同的語音、多媒體和應用服務器中采用些基本的安全方法,以確保關閉所有任何可能被攻擊者利用的后門程序。例如:

• 關閉不用的端口(如用于控制臺或遠程調(diào)制解調(diào)器訪問的端口);

• 只允許使用經(jīng)過授權的應用軟件;

• 支持針對操作人員設置多級權限(如監(jiān)視、配置和控制權限);

• 安全地保存用戶密碼;

• 對密碼格式和管理變更進行嚴格控制;

• 可使用VPN路由器對管理業(yè)務(如計費信息)進行加密,即使這些信息只在內(nèi)部傳輸。

邊界保護

網(wǎng)絡邊界保護針對的是位于一個被稱之為安全多媒體區(qū)域的VoIP和多媒體資源。這種保護可確保只允許合法的多媒體業(yè)務、信令業(yè)務和管理業(yè)務進入這一區(qū)域。

安全多媒體區(qū)域采用安全多媒體控制器等產(chǎn)品在通信和多媒體服務器周圍設置一道“安全防護欄”,以保護這些設備免遭內(nèi)外攻擊。可以針對業(yè)務提供商和企業(yè)采取不同的方法,這是因為業(yè)務提供商通常允許用戶通過開放的互聯(lián)網(wǎng)訪問它們的VoIP系統(tǒng),而企業(yè)主要關心如何在在一個相對安全的企業(yè)內(nèi)部網(wǎng)上進行部署,并通過安全隧道的延伸實現(xiàn)遠程和移動接入。

端點的策略符合性和保護

無論是應用于本地或遠端的有線或無線IP話機,還是應用于PC和PDA中的軟件客戶端,端點的策略符合性可確保只有通過認證的用戶和符合操作者定義的安全策略的終端設備才能接入網(wǎng)絡,并且這些設備只能使用經(jīng)過授權的應用和網(wǎng)絡資源。

目前,采用符合行業(yè)標準的HTTP Digest認證方式對多媒體用戶進行認證,從而防止未知設備偽裝成一臺IP話機,或防止一臺IP話機進入一個未經(jīng)授權的網(wǎng)絡端口。我們使用的以太網(wǎng)交換機、以太網(wǎng)路由交換機和WLAN安全交換機不僅要支持802.1x/EAP認證,而且還支持媒體訪問控制(MAC)地址過濾,作為訪問控制的另一種形式。

對于IP電話軟件客戶端,解決方案需支持IPsec VPN認證,并支持通過一個SSL(安全套接字層)VPN提交用戶名和認證信息。IPsec是互聯(lián)網(wǎng)工程工作小組(IETF)定義的一套安全協(xié)議,它們通過加密、認證、保密、數(shù)據(jù)完整性、防回放保護和防業(yè)務流分析來保護IP通信業(yè)務。

IPsec SSL VPN連接可利用SNA解決方案查詢本地或遠程接入設備,以確保它們符合企業(yè)的安全策略,如防火墻和防病毒軟件的最新定義。在VPN中,SNA解決方案采用隧道防護(TG)技術。一些VPN產(chǎn)品系列幾年前就開始采用這一獨特技術,讓企業(yè)能夠靈活采用以下方式確保端點安全:在安裝VPN客戶端時安裝一個代理,或者將代理下載到試圖建立一個SSL VPN連接的設備上。

不僅如此,SSL還與第三方廠商通過一個開放的應用程序接口(API)相互作用。如果某個設備不符合安全策略,可以將其放置在一個用于糾正的VLAN內(nèi),直到其符合安全策略為止。

應用級安全

確保語音通信的保密性是IP電話系統(tǒng)抗衡傳統(tǒng)TDM系統(tǒng)的一個關鍵因素。

當今的交換式以太網(wǎng)內(nèi)部體系結構-連同語音VLAN、地址解析協(xié)議(ARP)防欺騙等協(xié)議控制技術、以及安全的配線柜-的確能夠使內(nèi)部IP呼叫與TDM呼叫一樣安全。

為了確保通往PSTN的外部IP呼叫的安全,一個媒體網(wǎng)關首先要將數(shù)據(jù)包轉換成一個TDM呼叫,從而實現(xiàn)等同于TDM環(huán)境下的呼叫安全。

幾乎所有客戶都認為任何通過互聯(lián)網(wǎng)傳輸?shù)臉I(yè)務-無論語音和數(shù)據(jù)業(yè)務或通過有線和無線方式接入的業(yè)務-都是不安全的,并且容易遭受探測攻擊。由于存在這種擔心,人們通常采用SSL技術保護用戶認證和金融交易信息等重要的信息,并采用IPsec VPN技術確保企業(yè)遠程辦公站點和分支機構的接入安全。我們采用IPsec和SSL VPN解決方案完全能夠確保企業(yè)內(nèi)部網(wǎng)上遠程辦公人員、移動工作人員、分支機構和遠程辦公室的IP電話呼叫安全。

在低風險的內(nèi)部IP呼叫和高風險的互聯(lián)網(wǎng)/無線IP呼叫之間是一種極易遭受竊聽的業(yè)務:撥入式電話會議。

我們采用的系統(tǒng)產(chǎn)品通常要可以通過一個主持人可視面板提供一整套易用的撥入式電話會議安全功能。主持人可以使用該面板查詢參加和退出會議呼叫的人員,甚至可以要求參加者二次輸入密碼進行從新認證。所有這些功能都極大增強了傳統(tǒng)和IP電話通信環(huán)境的安全性。

對于想要確保VoIP和多媒體系統(tǒng)最高安全的客戶,我們的服務實施團隊要可以為客戶提供設計和集成服務,包括評估現(xiàn)有網(wǎng)絡體系結構(包括與客戶相關人員共同召開協(xié)作會議和進行項目規(guī)劃),提供一個詳細的安全體系結構計劃,并針對VoIP和/或多媒體解決方案以及具體的部署要求提供網(wǎng)絡結構圖。

作者:周建中 王秀生 溫曉江 來源:網(wǎng)絡通信中國


微信掃描分享本文到朋友圈
  • ←←微信掃描二維碼,即可將本文分享到朋友圈
  • 版權申明:部分文章轉載或來源于投稿,不代表本站贊同其觀點,如有異議,請聯(lián)系我們。
  • 上篇文章:破解綠色網(wǎng)絡密碼
  • 下篇文章:VOIP技術白皮書
  • 無線
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網(wǎng)絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復“LTBPS”免費領取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網(wǎng)白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統(tǒng)架構1
  • 本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息