企业网IMS安全风险分析及应对措施研究.pdfVIP

IPSec确保每个数据包 的必威体育官网网址性 、完整性与真 5 有效的IMS攻击防范手段 实性 。它不仅对每个负荷进行加密，而且保障数据 针对如何防范针对 IMS的攻击 ，文章提出以下 的完整性并对数据包的来源进行认证 。尽管 IPSec 几点应对措施供 IMS系统部署与实施时参考 。 有很 多安全方面 的优 点，但是 它不能与 NAT兼 1)在逻辑上将语音与数据网络分成不 同的网 容。NAT的实质是修改数据包头 ，将私有 的IP地 络，对语音与数据流量使用不同的子网地址，有条件 址和端 口号替换为全局可路 由的IP地址与端 口 的话 ，使用私网隔离。 (或与之反之)，但是修改 IP数据包 的包头会破坏 2)在与 PSTN对接的语音 网关上禁止从数据网 IPSec的完整性与源地址校验 ，使得数据包被认为不 过来的各种基于H323、SIP、MGCP、Megaco／H．248 可信 。 等协议的流量 。像其他网络管理单元一样 ，对语音 4 Ibis用户安全风险 网关使用强鉴权与访问控制策略，由于强鉴权可能 会 比较难 ，所 以一定要做好访 问控制列表 (Access 在 国家 电网公 司IMS测试 中，用户相关 的测 ControlList，ACL)防护策略。 试有 300余项 ，其 中安全相关的测试几十项。与核 3)使用为 IMS设计 的专用 防火墙 ，状态检测防 心网设备不 同，用户终端设备普遍配置较低 ，也更 火墙可 以跟踪连接的状态，禁止那些不是来 自某一 容易受到攻击 ，以下几项需要引起运维人 员的重点 关注 。 会话的数据包 。 4．1拒绝式服务攻击 4)使用 SSH(SecureShel1)进行远程管理与审 拒绝式服务攻击一般针对服务器和网络提供 计接入 ，如果可 以的话，对于 IPPBX等网元不使用 商，但 IMS用户也有可能遭受攻击。IMS为用户提 远程管理而通过一个物理安全的系统进行连接。 供服务的基本条件是 UE设备可以接收到 IMS发送 5)由于很多终端设备 的性能较差 ，不具备加密 的数据 ，但如果用户遭受数据链路层或者 网络层 的 的能力 ，需要在网关或者路 由上开启加密功能，提供 攻击而无法保障必要 的带宽，那么就会 引发拒绝式 IPSec隧道穿通 。 服务攻击攻击。 6)运维人员需要确保IMS网络设备的物理安全 。 4．2用户代理程序 (UserAgent，UA) 除非 IMS运行在一个加密 的网络中，否则通过物理 IMS为 UA提供各种服务 ，同时也要保障内容 接人LAN网络的用户通过网络检测工具是可以窃听 的安全性。IMS架构允许各种程序接入并进行 内容 别人的通话的，即使是一个加密网络 ，对 IMS服务器 分发，但当第三方服务程序接入 IMS系统时UA设 的物理连接也可以让攻击者监测到网络流量信息。 备会