1. Trang chủ
  2. » Thể loại khác

Bảo vệ thoại IP

40 18 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 40
Dung lượng 1,76 MB

Nội dung

Bảo vệ thoại IP Richard Dodsworth Kỹ sư tư vấn, thoại Cisco Systems, Châu Á – Thái Bình dương rdodswor@cisco.com © 2004 Cisco Systems, Inc All rights reserved Đại úy Crunch Cereal (ngũ cốc giòn) An ninh Thoại • Thuật ngữ Phreaking sinh • Câu lạc 2600 thành lập • Blue Box phát triển • Các gọi miễn phí bị chiếm để ăn trộm cước http://www.webcrunchers.com/crunch © 2004 Cisco Systems, Inc All rights reserved John T Dryer Giờ lo lắng điều gì? • Trộm cước – giống thoại truyền thơng • Nghe trộm Với TDM: cần có kiến thức truy nhập đến đơi dây định Với VoIP: Mọi nơi miền quảng bá • DoS, sâu virus hợp pháp Những công có mục tiêu hay vơ danh chống lại Windows Những điểm yếu TCP, lợi dụng L2/L3 • Cài thiết bị giả • Thăm dị trước • Người trung gian • Đánh lừa Bỏ đói DHCP • Các điểm yếu TCP khác • Blue-Bugging (tấn cơng quan Bluetooth) ã VOMIT, SPIT, DoVS, etc â 2004 Cisco Systems, Inc All rights reserved Chương trình • Tình trạng an tồn mạng • Bảo vệ hạ tầng • Bảo vệ điểm cuối • Bảo vệ ứng dụng mạng • Gia c ng dng thoi ã Kt lun â 2004 Cisco Systems, Inc All rights reserved Tình trạng An tồn Mạng © 2004 Cisco Systems, Inc All rights reserved Những cơng an ninh tiến hóa nhanh chóng Tốc độ lan tràn tạo thành Tính phức tạp Của cơng Cơ hội lợi dụng Tính phức tạp số lượng ứng dụng bị tiếp xúc Tấn công “pha trộn” Mở mặc định Hơn 4000 điểm yếu GUI, WYSIWYG 600 triệu người dùng internet 100 mã nguồn điểm yếu, triệu người dùng internet CLI 1993 1995 © 2004 Cisco Systems, Inc All rights reserved 1997 1999 2001 2002 2003 SAFE: Bảo vệ theo chiều sâu Thiết kế an ninh “Thông lệ tối ưu” cho triển khai an ninh mạng tích hợp Có thiết kế cho: • Doanh nghiệp • Doanh nghiệp nhỏ • IPSec VPNs • Thoại • Vô tuyến • Thương mại điện tử (với an ninh thơng tin) © 20 02 ,Cisco Sys te m s, Inc All rig hts r ese rved © 2004 Cisco Systems, Inc All rights reserved 34 Bảo an Hạ tầng © 2004 Cisco Systems, Inc All rights reserved Nền tảng triển khai an ninh có hạ tầng an tồn hỗ trợ Nền tảng triển khai, ứng dụng có hạ tầng an tồn hỗ trợ © 2004 Cisco Systems, Inc All rights reserved Hạ tầng – An ninh vật lý • CallManager, điện thoại cấp nguồn từ thiết bị chuyển mạch, gateway định tuyến cần có lưu điện • CallManger cần đặt vị trí an tồn; truy nhập vật lý có nghĩa truy nhập đến cấu hình hệ thống kế hoạch quay số • Điện thoại có cổng chuyển mạch cho PC, q vị khơng dùng tắt chúng Nếu chúng sử dụng, dùng VVID để phân cách VLAN thoại/dữ liệu Nếu khơng, chúng cung cấp truy nhập cho VLAN thoại • Các nhóm/CM dự phịng gateway cần đặt vị trí riêng biệt mặt vật lý hay kết nối vào mạng tuyến cách biệt © 2004 Cisco Systems, Inc All rights reserved 10 Bảo an Ứng dụng Mạng © 2004 Cisco Systems, Inc All rights reserved 26 Nhận thực Mã hóa • Nhận thực điểm cuối - Ngăn chặn điểm cuối không mong muốn kết nối tới máy chủ gateway -Ngăn chặn máy chủ lừa đảo giả trang mạng • Mã hóa - Giao thức điều khiển - Giao thức truyền thơng tin điểm cuối © 2004 Cisco Systems, Inc All rights reserved 27 Các chứng X.509v3 • Mỗi thiết bị có chứng CAPF • Cách thức thiết bị quảng bá Chìa khóa cơng cộng • Được Tổ chức cấp chứng tin cậy ký để tạo tính hợp lệ • Có từ nguồn khác CCM— Tự ký 7911/7941/7961/7970—MICs Cisco cài đặt 7940/60—LSCs từ CAPF © 2004 Cisco Systems, Inc All rights reserved 28 Danh sách chứng tin cậy • Danh sách chứng tin cậy chứa đựng danh mục thiết bị tin cậy CCM, TFTP, CAPF CTL Client CAPF • Tương tự CA gốc tin cậy IE • Do CTL tạo • Tải vệ điện thoại thời gian TFTP • Tất điện thoại nhóm có file CTL • CCM có file CTL động Được tải đăng ký TLS Chứa đựng sở liệu OpenSSL © 2004 Cisco Systems, Inc All rights reserved 29 TLS: An ninh lớp truyền tải Cisco sử dụng TLS để bảo an báo hiệu CCM Điện thoại IP CTL Client • Trao đổi hai chiều chứng để nhận thực lẫn • Các chữ ký RSA • Nhãn nhận thực HMAC-SHA-1 bảo đảm tính tồn vẹn gói tin • Mã hóa AES-128-CBC bảo vệ chìa khóa phiên, tơng DTMF liệu khác* * 7911/794x/796x/797x Chỉ vào thời điểm © 2004 Cisco Systems, Inc All rights reserved 30 SRTP: RTP An tồn • SRTP việc truyền tải cho CTL Client phương tiện nhận thực mã hóa • IETF RFC3711 • Sử dụng HMAC-SHA-1 cho nhận thực AES-128 CM để mã hóa • Chìa khóa tạo CCM – gửi đến điện thoại qua TLS • Hiện hỗ trợ 7911/794x/796x/797x • Theo thời gian, SRTP triển khai nhiều loại điện thoại, gateway ứng dụng © 2004 Cisco Systems, Inc All rights reserved Các gói tin SRTP tạo thêm 15 micro giây trễ lớn gói tin RTP từ đến byte 31 Nhận thực Mã hóa theo chứng mở rộng CallManager IPSec & SRTP đến MGCP Gateways H.323 Gateways TLS SRTP hỗ trợ cho Unity 4.0(5) H.323 ICT Trung kế SIP (chỉ có TLS) IPCC 7.0 CTI (CM 5.0) Hỗ trợ hoàn toàn TLS SRTP 7911 / 794x / 796x / 797x © 2004 Cisco Systems, Inc All rights reserved TLS IPSec SRTP 32 Gia cường Ứng dụng Thoại © 2004 Cisco Systems, Inc All rights reserved 33 Bảo an truy nhập quản trị từ xa • CCM 4.1 • Tất trang web người dùng quản trị Cisco CallManager HTTPS Tên người dùng mật Thay đổi cấu hình Khả phục vụ Quay số, Chuyển gọi • Tìm kiếm Backend LDAP qua SSL © 2004 Cisco Systems, Inc All rights reserved 34 Lợi dụng trộm cước Trộm cước 1: Trộm cước 2: Chuyển tất gọi Chuyển từ thư thoại Quốc tế, Premium Thư thoại, chuyển sang 9011xxxxxxxxx Gọi theo số quan nghỉ! Chu Int’l yển hết Local PSTN Trộm cước 3: Thiết kế xã hội Quốc tế, Premium Nội hạt Trộm cước 4: Tay Quốc tế, Premium Vui lịng chuyển tơi sang số lẻ 9011 Local PSTN © 2004 Cisco Systems, Inc All rights reserved Tơi chuyển cho anh! Local 35 Phịng ngừa trộm cước người dùng • Bảo vệ chống chuyển gọi, chuyển gọi từ xa chuyển trung kế • Phân vùng khơng gian tìm kiếm gọi hạn chế số điện thoại truy nhập tới phần định kế hoạch quay số • Các lọc quay số kiểm sốt truy nhập đến số điện thoại bị lợi dụng 900 • Các gọi hội nghị bất thường bị đánh rớt theo lựa chọn người khởi tạo bỏ máy • Mã nhận thực bắt buộc hay mã client matter phòng ngừa gọi phi nhận thực cung cấp chế cho tính cước theo dõi © 2004 Cisco Systems, Inc All rights reserved 36 Kết luận © 2004 Cisco Systems, Inc All rights reserved 37 An ninh cân đối rủi ro chi phí Chi phí – Sự phức tạp –Nhân công – Tiền Đồng Bạc Vàng Mặc định, Dễ dùng Trung bình, Hợp lý Mới, Khơng tích hợp với thoại, chưa kiểm tra ACL’s lớp Tường lửa Tường lửa tiên tiến Gia cường OS tiêu chuẩn Hạn chế tốc độ NAC/802.1X CSA khơng quản lý An ninh tích hợp cho Catalyst NIDS Anti-Virus VPN—SOHO/Di động CW-SIMS/MARS HTTPS, Secure VNC Gia cường OS lựa chọn Cisco Guard XT SLDAP CSA/VMS quản lý Cisco Anomaly Detector XT Cấu hình Firmware ký SCCP-S/SRTP đến điện thoại Thiết lập an ninh cho điện thoại IPSec/SRTP đến Gateways SYSLOG © 2004 Cisco Systems, Inc All rights reserved 38 Thông tin thêm = http://www.cisco.com/go/ipcsecurity © 2004 Cisco Systems, Inc All rights reserved 39 VVT-2003 9833_05_2004_c2 © 2004 Cisco Systems, Inc All rights reserved 40

Ngày đăng: 02/09/2020, 13:28

HÌNH ẢNH LIÊN QUAN

• Xây dựng trên Bảng gắn kết DHCP - Bảo vệ thoại IP
y dựng trên Bảng gắn kết DHCP (Trang 15)
• File cấu hình được ký - Bảo vệ thoại IP
ile cấu hình được ký (Trang 20)
• Cấu hình và Quản lý an ninh cho m ột sốđiểm cuối được l ựa chọn. - Bảo vệ thoại IP
u hình và Quản lý an ninh cho m ột sốđiểm cuối được l ựa chọn (Trang 21)
• Các file cấu hình được ký - Bảo vệ thoại IP
c file cấu hình được ký (Trang 22)
Thay đổi cấu hình Kh ả năng phục v ụ - Bảo vệ thoại IP
hay đổi cấu hình Kh ả năng phục v ụ (Trang 34)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w