Cisco数据和语音分离保安全_

Cisco数据和语音分离保安全

2004/06/22

　　由于QoS、可扩展性、可管理性和安全性等原因，IP电话设备和IP数据设备应该部署在两个逻辑上独立的网段中。将IP语音与传统IP数据网分离能大大提高抗攻击能力，而且允许使用相同的接入层、核心层和分布层。

　　在第三层分离

　　虽然网段应该分离，但Cisco并不建议部署两个IP基础设施。虚拟LAN（VLAN）、访问控制和状态防火墙等技术可以提供必要的第3层分段，以便使语音网和数据网在接入层分离。

　　某些IP电话只提供基本的第2层连接，即IP电话实际上是作为集线器，将数据和语音网结合在一起。某些IP电话提供增强的第2层连接，而且可以利用802.1q等VLAN技术将电话和数据端口放置在两个不同的VLAN中。这种体系结构是假设已部署的IP电话支持VLAN，因而能将数据和语音网分开。安全设计不应该只依赖VLAN执行网络分离，它们还应该遵守分层的安全最佳实践，并采用与IP电话连接的分布层中的第3层访问控制。所有设计中都采用了这种最佳实践。

　　控制二网交互

　　只有适当控制数据和语音网之间的访问才能部署安全的IP电话网。要实现这一任务，应该使用状态防火墙，因为它能提供基于主机的DoS保护，防止连接短缺和分段攻击；在合理和必要的地方，还通过防火墙提供每端口接入、反窃听和常规过滤。Cisco不提倡在所有网段之间放置状态防火墙。相反，需要在允许网段交互的特殊网络位置放置状态防火墙。在网络的任何其它地方都不允许发生网段间通信，执行这种功能无状态第3层过滤就已足够，数据和语音网段之间允许通过多种合法流量。

　　建立身份识别机制

　　应尽可能多地使用用户和设备认证机制，这样能阻止对IP电话网发起的许多攻击。IP电话设备的主要认证方法是MAC地址。如果MAC地址未知的电话试图从呼叫处理管理器下载网络配置，而且它不知道IP电话的MAC地址，那么，IP电话将接收到配置信息，假定自动注册已失效。这种设置能防止某人将电话偷接到网络中，然后通话。

　　用户认证能更加有效地防止攻击，即防止设备盗窃MAC地址，并假冒其目标的身份作案。提供用户认证还能提供某种程度的防否认功能，因为如果双方都成功地获得了认证，就有某种理由相信处于电话另一端的人或设备。

　　用户名/密码/PIN组合还可以用于识别访问呼叫处理管理器的用户。借助这个特性，用户能够在获得成功认证之后访问其定制的配置设置。用户必须通过严格的认证才能修改其定制设置（例如问候语）或者听取语音邮件。

赛迪网中国信息化(industry.ccidnet.com)