確保VPN、無(wú)線網(wǎng)及VoIP網(wǎng)絡(luò)的安全
2009/01/09
運(yùn)用各種技術(shù),針對(duì)基于硬件的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上構(gòu)建的VPN、無(wú)線網(wǎng)絡(luò)和VoIP網(wǎng)絡(luò),全面地提供安全性設(shè)計(jì)時(shí)需要考慮的事項(xiàng)。由于安全設(shè)計(jì)所使用的硬件產(chǎn)品多種多樣,并且根據(jù)硬件產(chǎn)品及其應(yīng)用軟件版本的不同,命令語(yǔ)法也有差異,所以提供具體的配置說(shuō)明。
VPN完整性、機(jī)密性和可用性
VPN用來(lái)在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的,端到端的專(zhuān)用網(wǎng)絡(luò)連接。VPN技術(shù)并不是天然就具備安全性。不論任何VPN網(wǎng)絡(luò),只有采用了適當(dāng)?shù)陌踩刂撇呗圆欧Q(chēng)得上是安全的VPN網(wǎng)絡(luò)。采用何種方式創(chuàng)建安全的VPN網(wǎng)絡(luò),很大程度上決定于采用的安全策略。VPN的安全策略與一般的安全策略即使不完全一致,也十分相似,因而人們首先考慮的問(wèn)題類(lèi)似于企業(yè)的一般的安全策略所面臨的問(wèn)題。需要對(duì)企業(yè)安全策略重新進(jìn)行審視,以決定是否需要針對(duì)企業(yè)中的VPN用戶(hù)作特殊的考慮和修改。需要確保所采用的安全機(jī)制的有效性(從管理者的角度)與其所提供的安全性之間取得一定的平衡。在制定VPN的安全策略時(shí),應(yīng)重點(diǎn)針對(duì)VPN完整性、機(jī)密性和可用性方面考慮。
在這里的完整性是指對(duì)通信數(shù)據(jù)進(jìn)行校驗(yàn),以確保傳輸過(guò)程中沒(méi)有被改變并且經(jīng)過(guò)認(rèn)證,IPSee本身提供了這種功能。在使用NAT的環(huán)境下,如果IP地址被包含在完整性檢查的內(nèi)容中,就會(huì)出現(xiàn)問(wèn)題:我們通常采用這樣的機(jī)制,IP地址不作為完整性檢查內(nèi)容的一部分。例如,在IPSee中,認(rèn)證頭部信息(AH)很少被用來(lái)進(jìn)行完整性檢查。相反,ESP通常和MD5或SHAI一起使用,提供對(duì)于數(shù)據(jù)包的完整性檢查,并且對(duì)于使用了隧道模式的網(wǎng)絡(luò),通常是檢查原始的首部而不是外部的IP首部。
如果一個(gè)IP地址偽裝成VPN類(lèi)型的通信,一般這種通信都會(huì)導(dǎo)致有線的拒絕服務(wù)(DoS)攻擊并占用有限的資源。大多數(shù)情況下,都假定IP地址是可信的,而且采用其他機(jī)制來(lái)防止?jié)撛诘腄oS攻擊。
安全的VPN網(wǎng)絡(luò)總是要求對(duì)某些數(shù)據(jù)進(jìn)行進(jìn)行加密。你必須認(rèn)真地選擇需要被加密的通信數(shù)據(jù),因?yàn)榉⻊?wù)器的處理能力是有限的。通常的做法是加密所有通往某一特定地址的通信數(shù)據(jù),或者僅加密某個(gè)特定應(yīng)用的數(shù)據(jù)。通常 使用IPSee對(duì)通信進(jìn)行加密。L2TP可以使用PPP加密,但是這是一種較為脆弱的加密方式,因此,L2TP往往與IPSee一起使用來(lái)提供機(jī)密性服務(wù)。注意在一般情況下,用戶(hù)需要修改PC/主機(jī)一方的最大通信單元(MTU),以避免接收設(shè)備無(wú)法處理的過(guò)大數(shù)據(jù)包。如果這種操作必要,則調(diào)整數(shù)據(jù)包的最大尺寸,保證它不超過(guò)未經(jīng)加密的以太網(wǎng)數(shù)據(jù)包的標(biāo)準(zhǔn)大小(1400字節(jié)),VPN應(yīng)用一般都提供了定制MTU大小的選項(xiàng)。
VPN網(wǎng)絡(luò)有著與其他網(wǎng)絡(luò)相同的需要,這就是要求最少的停機(jī)時(shí)間。可用性是指允許適當(dāng)?shù)娜哂,并且在受到攻擊時(shí)有能力繼續(xù)傳送數(shù)據(jù)包。設(shè)置多大的冗余要依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果而定。請(qǐng)注意,保護(hù)信息的費(fèi)用遠(yuǎn)超過(guò)使用信息的價(jià)值時(shí),就不需要過(guò)分地保護(hù)網(wǎng)絡(luò)設(shè)備或者信息。小型的公司可能沒(méi)有足夠的資金來(lái)購(gòu)買(mǎi)冗余設(shè)備,而大型公司應(yīng)該在所有關(guān)鍵的VPN結(jié)構(gòu)中提供冗余設(shè)備。對(duì)于所有冗余設(shè)備,應(yīng)該將配置為在某個(gè)連接或設(shè)備出現(xiàn)故障時(shí)自動(dòng)提供服務(wù)。
無(wú)線網(wǎng)絡(luò)整體設(shè)計(jì)及配置思路
要實(shí)現(xiàn)安全的無(wú)線網(wǎng)絡(luò),用戶(hù)需要采用與VPN網(wǎng)絡(luò)相同的設(shè)計(jì)方法。多數(shù)情況下,無(wú)線網(wǎng)絡(luò)實(shí)際上是遠(yuǎn)處訪問(wèn)VPN的一部分。下面不再重復(fù)與VPN相關(guān)的討論,只介紹與無(wú)線訪問(wèn)相關(guān)的特性和配置思路。
無(wú)線LAN的身份功能,包括認(rèn)證和訪問(wèn)控制功能。使用EAP進(jìn)行認(rèn)證的802.1x標(biāo)準(zhǔn)獲取了廣泛的認(rèn)同,應(yīng)當(dāng)考慮與AAA機(jī)制聯(lián)合提供身份保護(hù)。通過(guò)使用WEP或TKIP,無(wú)線網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性。由于WEP的功能有限,實(shí)施無(wú)線網(wǎng)絡(luò)時(shí)最好有關(guān)于無(wú)線AP和客戶(hù)端的最新軟件來(lái)應(yīng)用TKIP。WEP提供了機(jī)密性,但是該算法很容易被破解。而TKIP使用了更強(qiáng)的加密規(guī)則,可以提供更好的通信機(jī)密性。另外,一些實(shí)際應(yīng)用可能會(huì)考慮采用IPSee ESP來(lái)提供一個(gè)安全的VPN隧道。
無(wú)線網(wǎng)絡(luò)有著與其他網(wǎng)絡(luò)相同的需要,就是要求最少的停機(jī)時(shí)間。不管是由于DoS攻擊還是設(shè)備故障,無(wú)線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無(wú)線客戶(hù)端訪問(wèn)。保證這項(xiàng)功能所花費(fèi)資源的多少主要取決于保證無(wú)線網(wǎng)絡(luò)在房屋內(nèi)正常運(yùn)行的重要性。有些時(shí)候,比如在機(jī)場(chǎng)休息室或咖啡廳,不能給用戶(hù)提供訪問(wèn)只會(huì)給用戶(hù)帶來(lái)一點(diǎn)不方便。而一些公司越來(lái)越依賴(lài)于無(wú)線訪問(wèn)進(jìn)行商業(yè)運(yùn)行,以此需要提供更富有彈性的服務(wù)來(lái)避免網(wǎng)絡(luò)癱瘓的情況發(fā)生。除了冗余的特性,如負(fù)載平衡和熱備用,無(wú)線網(wǎng)絡(luò)還有更多的可用性問(wèn)題需要考慮,主要是關(guān)于信號(hào)強(qiáng)度的損失以及相關(guān)訪問(wèn)點(diǎn)(AP)的連通性丟失等問(wèn)題。通過(guò)迅速與另一個(gè)訪問(wèn)點(diǎn)重新建立安全的連接,可以減少丟失的會(huì)話,可以很大程度地提高可用性。
審計(jì)工作是確定無(wú)線網(wǎng)絡(luò)配置是否適當(dāng)?shù)谋匾襟E。如果對(duì)通信數(shù)據(jù)進(jìn)行加密,則不要只依賴(lài)計(jì)數(shù)器來(lái)現(xiàn)實(shí)通信數(shù)據(jù)正在被加密。就像在VPN網(wǎng)絡(luò)中一樣,應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來(lái)檢查通信的機(jī)密性,并保證任何有意無(wú)意嗅探網(wǎng)絡(luò)的用戶(hù)不能看到通信的內(nèi)容。為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的審計(jì),網(wǎng)絡(luò)管理員需要一整套方法來(lái)配置、收集、存儲(chǔ)和檢索網(wǎng)絡(luò)中所有AP及網(wǎng)橋的信息。網(wǎng)絡(luò)管理者必須有能力配置AP和網(wǎng)橋,監(jiān)控?zé)o線局域網(wǎng)(WLAN)設(shè)施的性能和可用性,并生成容量計(jì)劃和客戶(hù)追蹤報(bào)告。能夠同時(shí)對(duì)多個(gè)AP上的軟件進(jìn)行升級(jí)或降低也是很重要的。
一個(gè)典型的安全無(wú)線網(wǎng)絡(luò),實(shí)際上是對(duì)遠(yuǎn)程訪問(wèn)VPN的擴(kuò)展,在無(wú)線網(wǎng)絡(luò)中,用戶(hù)成功通過(guò)認(rèn)證后,可以從RADIUS服務(wù)器獲取特定的網(wǎng)絡(luò)訪問(wèn)模塊,并從中分配到用戶(hù)的IP。在無(wú)線用戶(hù)連接交換機(jī)并訪問(wèn)企業(yè)網(wǎng)絡(luò)前,802.1x和EAP軟件提供了對(duì)無(wú)線設(shè)備和用戶(hù)的認(rèn)證。另外,如果需要加密數(shù)據(jù),應(yīng)在無(wú)線客戶(hù)端和VPN集中器之間使用IPSee。小型網(wǎng)絡(luò)也許僅采用WEP對(duì)AP和無(wú)線客戶(hù)端之間的信息進(jìn)行加密,而IPSee提供了更優(yōu)越的解決方案。Cisco Works的WLSE/RMS解決方案可以用來(lái)管理WLAN。同樣,在網(wǎng)絡(luò)邊界安裝入侵檢測(cè)設(shè)備,可以幫助檢測(cè)網(wǎng)絡(luò)通信,檢測(cè)對(duì)企業(yè)網(wǎng)絡(luò)的潛在攻擊。
IP語(yǔ)音網(wǎng)絡(luò)(VoIP)安全設(shè)計(jì)重點(diǎn)方向
VoIP與其他VPN網(wǎng)絡(luò)有相似的設(shè)計(jì)方法,也需要考慮與VPN網(wǎng)絡(luò)相似的因素。VoIP網(wǎng)絡(luò)的安全設(shè)計(jì)的重要方向應(yīng)該放在對(duì)身份的認(rèn)證、訪問(wèn)控制和VoIP的可用性方面。
目前多數(shù)IP電話只提供了對(duì)設(shè)備認(rèn)證,而用戶(hù)認(rèn)證方面正在發(fā)展中。Cisco H.323網(wǎng)關(guān)支持使用散列密碼的加密令牌來(lái)進(jìn)行認(rèn)證。加密令牌可以在VoIP網(wǎng)關(guān)和網(wǎng)守(gatekeeper)間的任何RAS消息中使用,可以用于認(rèn)證消息的發(fā)送者。如果可能的話,我們應(yīng)當(dāng)為用戶(hù)ID和密碼校驗(yàn)使用不同的數(shù)據(jù)庫(kù)。注冊(cè)請(qǐng)求(RRQ)、取消注冊(cè)請(qǐng)求(URQ)、脫離請(qǐng)求(DRQ)以及終止方的請(qǐng)求(ARQ)中的加密令牌中含有產(chǎn)生該令牌的網(wǎng)關(guān)的相關(guān)信息,包括網(wǎng)關(guān)ID(即在網(wǎng)關(guān)上配置的H.323 ID)以及網(wǎng)關(guān)密碼。初始方ARQ消息的加密令牌包含了發(fā)起呼叫用戶(hù)的信息,包括用戶(hù)ID和PIN。該功能通過(guò)使用網(wǎng)關(guān)RAS消息中的認(rèn)證密鑰提供了對(duì)發(fā)送者的驗(yàn)證。網(wǎng)守使用該密鑰來(lái)認(rèn)證消息的來(lái)源并保證通信的安全性。
由于動(dòng)態(tài)實(shí)時(shí)傳輸協(xié)議及RTP控制協(xié)議(RTOP/RTCOP)的端口被語(yǔ)音電話的終端占用,所以防火墻可能會(huì)引起某種問(wèn)題,除非它們可以識(shí)別聲音通信并動(dòng)態(tài)的允許這種通信。在控制訪問(wèn)中使用Cisco PIX安全防火墻,在使用時(shí)應(yīng)該注意兩點(diǎn):一、如果防火墻代理安裝在未實(shí)施保護(hù)措施的防火墻外的網(wǎng)絡(luò),且有記錄路由功能,則允許訪問(wèn)的IP地址列表應(yīng)該很小且是可管理的。地址列表是由外部SIP代理服務(wù)器的IP地址構(gòu)成的。以此獲得可控的安全性。二、外部用戶(hù)不能呼叫防火墻內(nèi)部的網(wǎng)絡(luò),除非這些用戶(hù)被明確允許。另外在VoIP網(wǎng)絡(luò)中提供訪問(wèn)控制非常有用的Cisco IOS軟件的功能有支持SIP的防火墻、無(wú)令牌呼叫認(rèn)證、為MGCP綁定特定網(wǎng)關(guān)接口和SIP綁定特定的網(wǎng)關(guān)接口。
VoIP網(wǎng)絡(luò)和其他網(wǎng)絡(luò)要求相似,需要最小的停機(jī)時(shí)間,甚至在遭受DoS攻擊時(shí)仍能提供通話服務(wù)。如果VoIP服務(wù)成為某個(gè)給定網(wǎng)絡(luò)環(huán)境下通信的關(guān)鍵性設(shè)施,那么在VoIP的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中不允許存在任何單點(diǎn)失效點(diǎn)。提供專(zhuān)門(mén)基于電話的冗余功能,SRS(Survivable Remote Site)電話功能結(jié)合本地網(wǎng)路上的路由和呼叫管理(Call Manager,CM)為IP電話提供了可靠的支持。當(dāng)IP電話與遠(yuǎn)程配置的主、二級(jí)或者第三級(jí)的CM失去連接或者WAN連接中斷時(shí),該功能使用本地網(wǎng)絡(luò)的路由器來(lái)處理IP電話的呼叫。
總結(jié)
確保VPN、無(wú)線及VoIP網(wǎng)絡(luò)的安全時(shí)要考慮的各種因素以及相關(guān)的技術(shù)。同時(shí)利用有效的功能結(jié)合實(shí)際情況來(lái)配置高效安全的VPN、無(wú)線及VoIP網(wǎng)絡(luò)。無(wú)線和VoIP網(wǎng)絡(luò)的許多安全技術(shù)還在發(fā)展之中,應(yīng)該考慮在網(wǎng)絡(luò)中使用更新版本的軟件,以實(shí)現(xiàn)最新的安全功能。
ZDnet (www.zdnet.com.cn)
相關(guān)鏈接: