louiswang00 2011-11-03
★随信令媒体代理设备隔离
为保障软交换网络的安全,可以将软交换网络进行安全区域的划分,根据软交换网络中设备的安全需求以及软交换网络的安全区域,划分成内网区和外网区两个安全区域。
软交换网络内网区:由软交换、信令网关、应用服务器、媒体服务器、中继网关、大容量用户综合接入网关等设备组成的网络区域。该网络区域设备面向大量用户提供服务,安全等级要求高。
软交换网络外网区:由SIP终端、PC软终端、普通用户IAD等终端设备组成的网络区域,该网络区域设备放置在用户侧,面向个人用户提供服务。
内网区和外网区的互通,通过信令媒体代理设备实现,信令媒体代理设备除进行外网区终端访问软交换和网关设备的信令、媒体转发之外,同时在安全方面应具有以下功能:
1.设备应能支持基于SIP、MGCP和H.248协议的应用层攻击防护。
2.设备应能对异常消息、异常流量等高风险行为进行识别并产生实时告警,供维护人员作进一步处理。
3.对于以下情况,设备应能进行识别并按照预定策略进行处理。
(a)应能根据用户注册状态进行消息的处理,对未注册用户发送的非注册消息进行丢弃处理;
(b)设备应能对注册鉴权失败的用户终端建立监视列表,记录IP地址/端口和用户名,并能采取相应措施。
.设备应具有防常见DoS攻击能力。
网络隔离
把NGN与其他网络进行物理隔离,即在物理上单独构建一个独立的网络,可以有效规避外部攻击,但是这种建网与维护成本显然较高,所以这种方法并不可取。近年来,随着VPN技术的成熟,在同一个物理网络上构建不同的VPN已经实际可行,可以采用MPLS、VLAN等VPN技术从分组数据物理网络中划分出一个独立逻辑网络作为NGN虚拟业务网络,把NGN从逻辑上与其他网络进行隔离,其他网络用户无法通过非法途径访问NGN网络,将可以避免来自其他网络特别是Internet网络上用户对NGN网络的攻击与破坏。
数据加密
为了防止NGN中传送的信令和媒体信息被非法监听,可以采用目前互联网上通用的数据加密技术对信令流和媒体流进行加密。
对于IP网络上的信令传输,目前提出的主要安全机制是IPSec协议。在Megaco协议规范(RFC3015)中,指定Megaco协议的实现要采用IPSec协议保证媒体网关和软交换设备之间的通信安全。在不支持IPSec的环境下,使用Megaco提供的鉴权头(AH)鉴权机制对IP分组实施鉴权。在Megaco协议中强调了如果支持IPSec就必须采用IPSec机制,并且指出IPSec的使用不会影响Megaco协议进行交互接续的性能。IPSec是IPv4协议上的一个应用协议,IPv6直接支持IPSec选项。
对于媒体流的传输,采用对RTP包进行加密,目前主要采用对称加密算法对RTP包进行加密。
对于用户账号、密码等私有信息,目前采用的加密算法主要是MD5,用于用户身份的认证。
访问控制
★接入用户身份认证
软交换终端用户特别是智能终端、PC软终端、桌面IAD等接入NGN网络时必须经过严格的认证,确认用户的身份后才允许用户接入NGN网络。
用户接入认证时可以采用保密强度比较高的公开密钥体系来进行,以保证用户身份的可靠性。NGN系统认证确认用户身份接入NGN网络后,可以把用户标志、IP地址等信息进行绑定并记录到网络安全日志中。这样一旦用户的身份在接入时得到了确认,即使个别用户进行网络破坏也很容易通过网络的安全日志迅速定位和查处该用户。通过这种方式从根源上基本可以杜绝从用户侧发起网络攻击而导致的网络安全问题。另外,可以强制软交换或终端网管设备对终端的IP地址、MAC地址与终端标志进行匹配,当终端标志正确,但是IP地址或MAC地址不正确时,也不予提供接入和服务。
★访问控制
1.设备管理控制台访问
控制台是设备提供的最基本的配置方式。控制台拥有对设备最高配置权限,对控制台访问方式的权限管理应拥有最严格的方式。包括:用户登录验证、控制台超时注销、控制台终端锁定。
2.异步辅助端口的本地、远程拨号访问严格控制通过设备的其他异步辅助端口对设备进行本地、远程拨号的交互配置,缺省要求身份验证。
3.TELNET访问严格控制Telnet访问
用户、缺省要求身份验证,以及限制Telnet终端的IP地址,限制同时Telnet用户数目等。
NGN网络安全建议
NGN网络,如何构建安全的下一代网络?
根据前面的论述,为了保证所构建的NGN网络的安全性,必须做到以下几点:
1.在网络关键设备前放置防火墙和信令媒体代理设备,防止对网络关键设备的攻击;
2.把NGN与Internet等其他网络进行隔离,保证除NGN设备和用户外其他用户无法通过非法途径访问NGN;
3.对用户与软交换交互的信令消息进行加密,确保无法被非法监听;
4.在接入层对用户接入和业务使用进行严格控制,用户必须经过严格的鉴权和认证才可以接入NGN网络,用户的业务使用也必须经过严格的鉴权和认证。
软交换、应用服务器和各种网关设备组成封闭的MPLSVPN网络,对于内部大客户可以通过专线直接接入,其他非信任区域的终端用户只能通过信令媒体代理设备访问,同时采用IPSec加密交互的信令消息。软交换和信令媒体代理设备严格控制终端的接入,对终端标志、IP地址、MAC地址进行认证。