统一通信是个热门话题,很多网民对此有所不理解,其实说白了统一通信(简称UC即Unified Communications ):把计算机技术与传统通信技术融合一体的新通信模式,既融合计算机网络与传统通信网络在一个网络平台上,实现电话、传真、数据传输、音视频会议、呼叫中心、即时通信等众多应用服务。而在融合通信中,网络电话(VoIP)是其中的重点。因此也叫“三网融合”。
开放性和普遍性固然使IP网络成为强大的业务工具,但也同时为它带来了巨大的安全隐患。在将合法用户接入网络的端口和门户时,网络黑客和那些为了个人利益或出于恶意而企图侵占网络资源的攻击者也同时乘虚而入。攻击者可以通过使用IP地址欺骗、拒绝服务(DoS)攻击、后门入口等工具和技术入侵网络,达到破坏服务、盗用服务和窃取机密信息等目的。
毋宁质疑,我们在搭建安全可靠的端对端网络方面,如何为业务提供商和企业的这些系统提供安全保护,是一个必须面对的问题。
为IP电话和多媒体系统提供安全保护
为了应对这些攻击,我们采用那些在通信服务器或企业通信管理器产品系列开发出相应的IP电话解决方案,以满足业务提供商在运行、可靠性和性能方面的严格要求,并服务于个人和企业用户、小型企业、政府机构和那些为最终用户提供服务的企业。
这些IP电话解决方案还能得到进一步增强,以便通通信服务器的支持,提供融合多媒体解决方案,包括实时视频、安全即时消息、应用共享、白板和在线状态等,它们既可以是专用解决方案也可以是托管解决方案。新兴的融合多媒体解决方案正成为提高企业生产力的基本工具,同时还能提升个人和企业用户的通信体验。
在保护多媒体服务器、应用服务器和网关设备方面,在产品研发及实施阶段遵循多个原则,以确保IP电话和多媒体通信系统的完整性以及用户信息的保密性。这些原则包括:
多媒体安全解决方案必须符合网络操作者的安全策略,不论该操作者是某个企业的IT组织还是一个业务提供商。
必须在数据层面为IP网络提供安全保护,并且所采用的任何安全机制必须能够在如下环境内运行:具有严格的VoIP和多媒体实时性能要求,以及极高的时延/抖动(端到端小于150毫秒)和丢包率(接近0%)要求。
业务关键型通信服务器以及相关的信令和控制系统必须具备物理安全性,并得到保护以防范内外攻击。
力求在不同设备上以及有线和无线接入模式下实现的易用性和一致的用户体验也必须得到实现,并且必须对各种认证方式和加密技术透明。
所有多媒体产品对各种标准的支持将确保能够满足业务提供商和企业在功能和互通性方面的要求。
必须在整个多媒体环境中采用一种整体的安全方法,以便实现业务提供商之间、企业之间、公网和专网之间的互通。
企业所采取的IP电话和多媒体系统保护战略,要采用一种例如分层安全防护方法,它是网络安全体系结构遵循的一个重要原则。确保多媒体系统和网络安全的分层防护方法能够避免网络上的任何单点故障。通过在网络的多个区域采用多种强制安全策略的方法可以实现分层防护,而且还可利用符合标准的解决方案对其提供支持。这种方法与传统的IT方法不同,后者主要通过防火墙为网络边界提供保护。
除了将{zj0}实践应用于保护整个IP网络外,我们的VoIP和多媒体解决方案还在分层体系结构中提供具体的多媒体安全功能,包括设备级安全、边界保护、端点的策略符合性和网络级保护、以及应用级安全。
设备级安全
在设备级,负责提供统一消息、呼叫中心和CTI业务我们的IP电话服务器、多媒体服务器和应用服务器要能将将管理功能与业务功能分开、严格的访问控制、以及用户认证、授权和计费。
同时我们的方案{zh0}在不同的语音、多媒体和应用服务器中采用些基本的安全方法,以确保关闭所有任何可能被攻击者利用的后门程序。例如:
关闭不用的端口(如用于控制台或远程调制解调器访问的端口);
只允许使用经过授权的应用软件;
支持针对操作人员设置多级权限(如监视、配置和控制权限);
安全地保存用户密码;
对密码格式和管理变更进行严格控制;
可使用VPN路由器对管理业务(如计费信息)进行加密,即使这些信息只在内部传输。
边界保护
网络边界保护针对的是位于一个被称之为安全多媒体区域的VoIP和多媒体资源。这种保护可确保只允许合法的多媒体业务、信令业务和管理业务进入这一区域。
安全多媒体区域采用安全多媒体控制器等产品在通信和多媒体服务器周围设置一道“安全防护栏”,以保护这些设备免遭内外攻击。可以针对业务提供商和企业采取不同的方法,这是因为业务提供商通常允许用户通过开放的互联网访问它们的VoIP系统,而企业主要关心如何在在一个相对安全的企业内部网上进行部署,并通过安全隧道的延伸实现远程和移动接入
端点的策略符合性和保护
无论是应用于本地或远端的有线或无线IP话机,还是应用于PC和PDA中的软件客户端,端点的策略符合性可确保只有通过认证的用户和符合操作者定义的安全策略的终端设备才能接入网络,并且这些设备只能使用经过授权的应用和网络资源。
目前,采用符合行业标准的HTTP Digest认证方式对多媒体用户进行认证,从而防止未知设备伪装成一台IP话机,或防止一台IP话机进入一个未经授权的网络端口。我们使用的以太网交换机、以太网路由交换机和WLAN安全交换机不仅要支持802.1x/EAP认证,而且还支持媒体访问控制(MAC)地址过滤,作为访问控制的另一种形式。
对于IP电话软件客户端,解决方案需支持IPsec VPN认证,并支持通过一个SSL(安全套接字层)VPN提交用户名和认证信息。IPsec是互联网工程工作小组(IETF)定义的一套安全协议,它们通过加密、认证、保密、数据完整性、防回放保护和防业务流分析来保护IP通信业务。
IPsec SSL VPN连接可利用SNA解决方案查询本地或远程接入设备,以确保它们符合企业的安全策略,如防火墙和防病毒软件的{zx1}定义。在VPN中,SNA解决方案采用隧道防护(TG)技术。一些VPN产品系列几年前就开始采用这一独特技术,让企业能够灵活采用以下方式确保端点安全:在安装VPN客户端时安装一个代理,或者将代理下载到试图建立一个SSL VPN连接的设备上。
不仅如此,SSL还与第三方厂商通过一个开放的应用程序接口(API)相互作用。如果某个设备不符合安全策略,可以将其放置在一个用于纠正的 VLAN内,直到其符合安全策略为止。
应用级安全
确保语音通信的保密性是IP电话系统抗衡传统TDM系统的一个关键因素。
当今的交换式以太网内部体系结构-连同语音VLAN、地址解析协议(ARP)防欺骗等协议控制技术、以及安全的配线柜-的确能够使内部IP呼叫与TDM呼叫一样安全。
为了确保通往PSTN的外部IP呼叫的安全,一个媒体网关首先要将数据包转换成一个TDM呼叫,从而实现等同于TDM环境下的呼叫安全。
几乎所有客户都认为任何通过互联网传输的业务-无论语音和数据业务或通过有线和无线方式接入的业务-都是不安全的,并且容易遭受探测攻击。由于存在这种担心,人们通常采用SSL技术保护用户认证和金融交易信息等重要的信息,并采用IPsec VPN技术确保企业远程办公站点和分支机构的接入安全。我们采用IPsec和SSL VPN解决方案xx能够确保企业内部网上远程办公人员、移动工作人员、分支机构和远程办公室的IP电话呼叫安全。
在低风险的内部IP呼叫和高风险的互联网/无线IP呼叫之间是一种极易遭受窃听的业务:拨入式电话会议。
我们采用的系统产品通常要可以通过一个主持人可视面板提供一整套易用的拨入式电话会议安全功能。主持人可以使用该面板查询参加和退出会议呼叫的人员,甚至可以要求参加者二次输入密码进行从新认证。所有这些功能都极大增强了传统和IP电话通信环境的安全性。
对于想要确保VoIP和多媒体系统{zg}安全的客户,我们的服务实施团队要可以为客户提供设计和集成服务,包括评估现有网络体系结构 (包括与客户相关人员共同召开协作会议和进行项目规划),提供一个详细的安全体系结构计划,并针对VoIP和/或多媒体解决方案以及具体的部署要求提供网络结构图。
虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。
“{zj0}实践”来自英文Best Practice。维基百科对{zj0}实践的定义是一个管理学概念,认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到{zy},并减少出错的可能性。学习应用IT企业安全的{zj0}实践,其实就是借鉴别人成功的经验,让自己在保护企业安全方面少走弯路。在本手册中,将集合IT业内关于企业安全的{zj0}实践,并不断更新,以期在企业安全防护方面提供帮助。
虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用{zd0}化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的{zd0}优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。
黑客策略和技术一直都在进步。黑客还在继续开发新的攻击工具和黑客方法,来恶意访问系统并攻击你的网络,这样企业在开发和采取恰当的方法防御黑客的攻击就变得非常困难。《黑客攻击技术和策略》的技术指南将介绍黑客的内心想法,并帮助你理解恶意攻击者的动机,也提供了一些黑客攻击具体信息的方式,采用的方法以及企业应该采用的保护敏感数据的方法。这里将会提供大量黑客技术和策路的信息,例如允许黑客获取网络系统或者文件访问的系统特征探测。
假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。