局域網安全從VoIP安全說起
這些攻擊正在上升,這絕對是個事實。實際上,SANs研究機構最近將客戶端攻擊列為當今最為嚴重的弱點之一。然而如果我們中的任何人認為我們可以充分保護,免受此類攻擊的話,那么就是有勇無謀的了,當有攻擊威脅到你的企業(yè)的時候,你當然可以有一些強有力的措施來減輕威脅。
要采用的第一個步驟就是在你的局域網中實現(xiàn)一個認證的機制,這個局域網中包括了設備還有用戶。如果你購買了一些類似802.1x的產品,它們并不充分,因為電話、打印機、體檢設備,機器人,以及其他一些設備絕大部分都不支持802.1x的要求。
你需要一種方式去確保你知道每個插入網絡的非用戶設備,你也會知道它是什么樣的設備。尋找一種認證方式,讓你可以將你的某些特定的設備列入優(yōu)良者名單,或者更好是,幫助你自動識別那些設備,通過使用反向DNS來講設備名與設備類型聯(lián)系起來。
接下來,你需要一種方式將這些非用戶設備放入一個角色,并給這個角色分配訪問權限。例如,你可以訂一個打印機角色,可以應用給你的環(huán)境中的所有的打印機和打印機服務器。至于訪問權限,你可以指定打印機只能與打印機服務器通訊,所有的用戶設備都只能夠與打印機服務器進行通訊。通過這種類型的策略,你可以訪問用戶設備和打印機之間的直接通訊。
在VoIP方面也類似,你可以指定VoIP電話給VoIP角色,然后定義這些VoIP電話只可以與呼叫管理器通訊。你甚至可以使用基于應用的策略來超越這種基于地域的保護。例如,你可以說,具有VoIP角色的設備應該只使用SIP,H.323,或者SKINNY來進行通信,例如,更進一步地保護免受基于數(shù)據(jù)的攻擊。
這種類型的領域劃分在保護電話、打印機或者其他可能作為攻擊發(fā)起點的設備方面非常有幫助。例如,被約束的打印機,并且有漏洞掃描軟件安裝在上面的話,它是不會被尋找開放端口的所有網絡設備觸及的。還有VoIP電話不能用于發(fā)起一個針對其他服務器或者終端用戶機器的攻擊;通過應用保護,它甚至不能使用數(shù)據(jù)協(xié)議攻擊呼叫管理器。
那么你用何種方式能夠獲得這樣的局域網安全保護呢?你有很多選擇。下一代局域網交換機,帶有802.1x之外的認證,可以對用戶和設備應用基于策略的訪問控制,這是將這種能力直接引入你的局域網的非常不錯的方式。如果你還不想升級交換機,那么考慮一下具有認證用戶和設備能力,能夠給設備自動分配角色,并且可以根據(jù)領域和應用采用基于策略的控制的安全設備。
無論是選擇了訪問交換或者設備,關鍵是要把保護正確應用到局域網的用戶邊緣上。這個地點對于減少這些基于客戶的攻擊是至關重要的。否則,你就沒有工具在他們開始的地方去阻斷運輸流量。
【編輯推薦】
