运用各种技术,针对基于硬件的网络基础设施上构建的VPN、无线网络和VoIP网络,全面地提供安全性设计时需要考虑的事项。由于安全设计所使用的硬件产品多种多样,并且根据硬件产品及其应用软件版本的不同,命令语法也有差异,所以提供具体的配置说明。
VPN完整性、机密性和可用性
VPN用来在公共网络基础设施上建立安全的,端到端的专用网络连接。VPN技术并不是天然就具备安全性。不论任何VPN网络,只有采用了适当的安全控制策略才称得上是安全的VPN网络。采用何种方式创建安全的VPN网络,很大程度上决定于采用的安全策略。VPN的安全策略与一般的安全策略即使不完全一致,也十分相似,因而人们首先考虑的问题类似于企业的一般的安全策略所面临的问题。需要对企业安全策略重新进行审视,以决定是否需要针对企业中的VPN用户作特殊的考虑和修改。需要确保所采用的安全机制的有效性(从管理者的角度)与其所提供的安全性之间取得一定的平衡。在制定VPN的安全策略时,应重点针对VPN完整性、机密性和可用性方面考虑。
在这里的完整性是指对通信数据进行校验,以确保传输过程中没有被改变并且经过认证,IPSee本身提供了这种功能。在使用NAT的环境下,如果IP地址被包含在完整性检查的内容中,就会出现问题:我们通常采用这样的机制,IP地址不作为完整性检查内容的一部分。例如,在IPSee中,认证头部信息(AH)很少被用来进行完整性检查。相反,ESP通常和MD5或SHAI一起使用,提供对于数据包的完整性检查,并且对于使用了隧道模式的网络,通常是检查原始的首部而不是外部的IP首部。
如果一个IP地址伪装成VPN类型的通信,一般这种通信都会导致有线的拒绝服务(DoS)攻击并占用有限的资源。大多数情况下,都假定IP地址是可信的,而且采用其他机制来防止潜在的DoS攻击。
安全的VPN网络总是要求对某些数据进行进行加密。你必须认真地选择需要被加密的通信数据,因为服务器的处理能力是有限的。通常的做法是加密所有通往某一特定地址的通信数据,或者仅加密某个特定应用的数据。通常 使用IPSee对通信进行加密。L2TP可以使用PPP加密,但是这是一种较为脆弱的加密方式,因此,L2TP往往与IPSec一起使用来提供机密性服务。注意在一般情况下,用户需要修改PC/主机一方的最大通信单元(MTU),以避免接收设备无法处理的过大数据包。如果这种操作必要,则调整数据包的最大尺寸,保证它不超过未经加密的以太网数据包的标准大小(1400字节),VPN应用一般都提供了定制MTU大小的选项。
VPN网络有着与其他网络相同的需要,这就是要求最少的停机时间。可用性是指允许适当的冗余,并且在受到攻击时有能力继续传送数据包。设置多大的冗余要依据风险评估的结果而定。请注意,保护信息的费用远超过使用信息的价值时,就不需要过分地保护网络设备或者信息。小型的公司可能没有足够的资金来购买冗余设备,而大型公司应该在所有关键的VPN结构中提供冗余设备。对于所有冗余设备,应该将配置为在某个连接或设备出现故障时自动提供服务。
无线网络整体设计及配置思路
要实现安全的无线网络,用户需要采用与VPN网络相同的设计方法。多数情况下,无线网络实际上是远处访问VPN的一部分。下面不再重复与VPN相关的讨论,只介绍与无线访问相关的特性和配置思路。
无线LAN的身份功能,包括认证和访问控制功能。使用EAP进行认证的802.1x标准获取了广泛的认同,应当考虑与AAA机制联合提供身份保护。通过使用WEP或TKIP,无线网络提供数据包原始完整性。由于WEP的功能有限,实施无线网络时最好有关于无线AP和客户端的最新软件来应用TKIP。WEP提供了机密性,但是该算法很容易被破解。而TKIP使用了更强的加密规则,可以提供更好的通信机密性。另外,一些实际应用可能会考虑采用IPSee ESP来提供一个安全的VPN隧道。
无线网络有着与其他网络相同的需要,就是要求最少的停机时间。不管是由于DoS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端访问。保证这项功能所花费资源的多少主要取决于保证无线网络在房屋内正常运行的重要性。有些时候,比如在机场休息室或咖啡厅,不能给用户提供访问只会给用户带来一点不方便。而一些公司越来越依赖于无线访问进行商业运行,以此需要提供更富有弹性的服务来避免网络瘫痪的情况发生。除了冗余的特性,如负载平衡和热备用,无线网络还有更多的可用性问题需要考虑,主要是关于信号强度的损失以及相关访问点(AP)的连通性丢失等问题。通过迅速与另一个访问点重新建立安全的连接,可以减少丢失的会话,可以很大程度地提高可用性。
审计工作是确定无线网络配置是否适当的必要步骤。如果对通信数据进行加密,则不要只依赖计数器来现实通信数据正在被加密。就像在VPN网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计,网络管理员需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息。网络管理者必须有能力配置AP和网桥,监控无线局域网(WLAN)设施的性能和可用性,并生成容量计划和客户追踪报告。能够同时对多个AP上的软件进行升级或降低也是很重要的。
一个典型的安全无线网络,实际上是对远程访问VPN的扩展,在无线网络中,用户成功通过认证后,可以从RADIUS服务器获取特定的网络访问模块,并从中分配到用户的IP。在无线用户连接交换机并访问企业网络前,802.1x和EAP软件提供了对无线设备和用户的认证。另外,如果需要加密数据,应在无线客户端和VPN集中器之间使用IPSee。小型网络也许仅采用WEP对AP和无线客户端之间的信息进行加密,而IPSee提供了更优越的解决方案。Cisco Works的WLSE/RMS解决方案可以用来管理WLAN。同样,在网络边界安装入侵检测设备,可以帮助检测网络通信,检测对企业网络的潜在攻击。
IP语音网络(VoIP)安全设计重点方向
VoIP与其他VPN网络有相似的设计方法,也需要考虑与VPN网络相似的因素。VoIP网络的安全设计的重要方向应该放在对身份的认证、访问控制和VoIP的可用性方面。
目前多数IP电话只提供了对设备认证,而用户认证方面正在发展中。Cisco H.323网关支持使用散列密码的加密令牌来进行认证。加密令牌可以在VoIP网关和网守(gatekeeper)间的任何RAS消息中使用,可以用于认证消息的发送者。如果可能的话,我们应当为用户ID和密码校验使用不同的数据库。注册请求(RRQ)、取消注册请求(URQ)、脱离请求(DRQ)以及终止方的请求(ARQ)中的加密令牌中含有产生该令牌的网关的相关信息,包括网关ID(即在网关上配置的H.323 ID)以及网关密码。初始方ARQ消息的加密令牌包含了发起呼叫用户的信息,包括用户ID和PIN。该功能通过使用网关RAS消息中的认证密钥提供了对发送者的验证。网守使用该密钥来认证消息的来源并保证通信的安全性。
由于动态实时传输协议及RTP控制协议(RTOP/RTCOP)的端口被语音电话的终端占用,所以防火墙可能会引起某种问题,除非它们可以识别声音通信并动态的允许这种通信。在控制访问中使用Cisco PIX安全防火墙,在使用时应该注意两点:一、如果防火墙代理安装在未实施保护措施的防火墙外的网络,且有记录路由功能,则允许访问的IP地址列表应该很小且是可管理的。地址列表是由外部SIP代理服务器的IP地址构成的。以此获得可控的安全性。二、外部用户不能呼叫防火墙内部的网络,除非这些用户被明确允许。另外在VoIP网络中提供访问控制非常有用的Cisco IOS软件的功能有支持SIP的防火墙、无令牌呼叫认证、为MGCP绑定特定网关接口和SIP绑定特定的网关接口。
VoIP网络和其他网络要求相似,需要最小的停机时间,甚至在遭受DoS攻击时仍能提供通话服务。如果VoIP服务成为某个给定网络环境下通信的关键性设施,那么在VoIP的网络基础设施中不允许存在任何单点失效点。提供专门基于电话的冗余功能,SRS(Survivable Remote Site)电话功能结合本地网路上的路由和呼叫管理(Call Manager,CM)为IP电话提供了可靠的支持。当IP电话与远程配置的主、二级或者第三级的CM失去连接或者WAN连接中断时,该功能使用本地网络的路由器来处理IP电话的呼叫。
总结
确保VPN、无线及VoIP网络的安全时要考虑的各种因素以及相关的技术。同时利用有效的功能结合实际情况来配置高效安全的VPN、无线及VoIP网络。无线和VoIP网络的许多安全技术还在发展之中,应该考虑在网络中使用更新版本的软件,以实现最新的安全功能。
有点意思