扫一扫
关注微信公众号

确保VPN、无线网及VoIP网络的安全(3)
2007-11-20   网络

IP语音网络(VoIP)安全设计重点方向

  VoIP与其他VPN网络有相似的设计方法,也需要考虑与VPN网络相似的因素。VoIP网络的安全设计的重要方向应该放在对身份的认证、访问控制和VoIP的可用性方面。

  目前多数IP电话只提供了对设备认证,而用户认证方面正在发展中。Cisco H.323网关支持使用散列密码的加密令牌来进行认证。加密令牌可以在VoIP网关和网守(gatekeeper)间的任何RAS消息中使用,可以用于认证消息的发送者。如果可能的话,我们应当为用户ID和密码校验使用不同的数据库。注册请求(RRQ)、取消注册请求(URQ)、脱离请求(DRQ)以及终止方的请求(ARQ)中的加密令牌中含有产生该令牌的网关的相关信息,包括网关ID(即在网关上配置的H.323 ID)以及网关密码。初始方ARQ消息的加密令牌包含了发起呼叫用户的信息,包括用户ID和PIN。该功能通过使用网关RAS消息中的认证密钥提供了对发送者的验证。网守使用该密钥来认证消息的来源并保证通信的安全性。

  由于动态实时传输协议及RTP控制协议(RTOP/RTCOP)的端口被语音电话的终端占用,所以防火墙可能会引起某种问题,除非它们可以识别声音通信并动态的允许这种通信。在控制访问中使用Cisco PIX安全防火墙,在使用时应该注意两点:一、如果防火墙代理安装在未实施保护措施的防火墙外的网络,且有记录路由功能,则允许访问的IP地址列表应该很小且是可管理的。地址列表是由外部SIP代理服务器的IP地址构成的。以此获得可控的安全性。二、外部用户不能呼叫防火墙内部的网络,除非这些用户被明确允许。另外在VoIP网络中提供访问控制非常有用的Cisco IOS软件的功能有支持SIP的防火墙、无令牌呼叫认证、为MGCP绑定特定网关接口和SIP绑定特定的网关接口。

  VoIP网络和其他网络要求相似,需要最小的停机时间,甚至在遭受DoS攻击时仍能提供通话服务。如果VoIP服务成为某个给定网络环境下通信的关键性设施,那么在VoIP的网络基础设施中不允许存在任何单点失效点。提供专门基于电话的冗余功能,SRS(Survivable Remote Site)电话功能结合本地网路上的路由和呼叫管理(Call Manager,CM)为IP电话提供了可靠的支持。当IP电话与远程配置的主、二级或者第三级的CM失去连接或者WAN连接中断时,该功能使用本地网络的路由器来处理IP电话的呼叫。

热词搜索:

上一篇:确保VPN、无线网及VoIP网络的安全(2)
下一篇:确保VPN、无线网及VoIP网络的安全(4)

分享到:           收藏