|
【创心服务 联通你我】青春逢盛世,奋斗正当时 |
| 中国通信网 |
时间:2010-03-17 |
信息来源:至顶网 |
多媒体应用与企业传统网络结合在企业中已经是司空见惯的事情。特别是随着VoIP技术的稳步发展,IP语音逐渐成为企业网络中的一个不可或缺的新成员。但是这也对企业网络的安全提出了新的挑战。最近针对企业VoIP应用的攻击也逐渐多了提来。笔者也跟攻击者打过几回交道。在这里笔者就跟大家分享一下这方面防护的经验,主要就是如何通过流量检查让VoIP数据高枕无忧。
一、保障H.323协议的安全
H.323协议是VoIP技术中一个比较关键的协议。由于这个协议族是基于TCP连接的,所以也比较容易受到攻击。H.323协议族使用2个TCP连接以及4到6个UDP连接。他们基本上都是为了一个特定的会话而协同工作。这个协议可以完成多项关键性的工作。如其管理安全与认证相关的内容、协商信道的使用等等。故保证这个协议的安全性,是VoIP安全体系中一个非常重要的内容。
在实际工作中,由于这个协议其采用的事抽象语法符号对分组进行编码。为此要对其采取一些安全措施有一定的难度。或者说,市面针对这种抽象语法符号的安全解决方案比较少。这主要是因为要理解H.323流的内容比起理解其他现存的协议的流要相对简单许多。正是由于这一点,很多攻击者就喜欢拿这个协议开刀,作为攻击的跳板。
那么安全管理人员是否就对此束手无策了呢?那也不是。在思科的防火墙中,就提供了一个现成的防护机制。H.323通常情况下是使用1720做为TCP控制端口的。而这个端口也是攻击者喜欢使用的端口。在现实工作中,如果能够加强对这个端口的流量进行检查,那么久可以保证VoIP应用的安全。通过命令fixup protocol h323命令就可以启用对这个端口流量的检查。由于在PIX防火墙中默认是通过端口1720连接来检查h.323流量,故在命令中不需要带上端口参数。
不过有时候为了进一步提套其安全性,会改变这个默认端口。改变之后,攻击者就不能够通过端口扫描等方法来判断企业是否采用了VoIP应用。改变了端口之后,安全设置人员仍然需要在改变端口后的新端口中启用H.323流量检查。此时需要在命令fixup protocol h323后面带上端口参数。
二、启用MGCP流量检查
MGCP是一个语音协议,它的地位与H.323协议类似。语音协议与7号信令系统一起运行。这个协议的主要功能就是用来桥接交换电路网络以及分组网络。MGCP语音协议可以将信令与呼叫控制同媒体网关分离。当MGCP语音协议受到攻击的话,就有可能出现语音通信故障,甚至被窃听的情况。所以启用MGCP流量检查,保障这个MGCP流量的安全,也是非常重要的一项安全措施。
默认情况下,这个流量检查是被禁用的。这主要是出于性能的考虑。因为对流量进行检查,势必会对数据流的传输造成负面的影响。故在启用这个检查之前,网络安全人员还需要评估,在安全与性能之间取得均衡。通常情况下,要使用MGCP语音协议至少需要用到两个端口,一个用于网关接受命令(默认采用的端口是2427),另外一个用于呼叫代理接收命令(默认使用的端口号是2727)。如果要启用MGCP流量检查的话,则需要同时在这两个端口上进行配置。其配置也很简单,只需要使用命令fixup protocol mgcp,后面加上具体的端口号即可。
笔者再次强调一下,当启用了MGCP流量检查之后,一定要对其性能进行评估。如果网络部署不合理,则启用这个功能后,IP语音电话的性能会有直线的下降,甚至出现语音电话比较长时间的延迟。所以启用后进行性能的评估,是非常有必要的。不要等到用户投诉后再去处理。 |
|
|
|
|
|
 热门资讯 |
|
|
|
|
|
|
