资料下载

采访:Akhil Behl CCIEx2#19564(语音& 安全)

由管理员撰写。发表于 CCIE作者,专家& Guest Writers

4.375 1 1 1 1 1 评分4.38(8投票)
压住他

并非每天都有机会面试CCIE,尤其是双重CCIE! 今天,Firewall.cx采访了Double CCIE(语音)的Akhil Behl&安全)#19564和受欢迎的Cisco Press标题的作者 ‘保护Cisco IP电话网络的安全'。

阿基尔·贝尔的传记

ccies作者akhil behl阿基尔·贝尔 是一个 思科高级服务高级网络顾问,重点关注思科协作和安全架构。他领导全球范围内针对思科服务的协作和安全项目以及针对商业领域的协作专业服务(CPS)产品组合。在担任现职之前,他在Linksys,Cisco TAC和Cisco AS担任了10年的各种职务。他拥有CCIE(语音和安全性),PMP,ITIL,VMware VCP和MCP认证。

他在包括IEEE Xplore在内的国际期刊上发表了多篇值得赞扬的研究论文。

他是一位多产演讲者,并且在诸如Interop,Enterprise Connect,Cloud Connect,Cloud Summit,Cisco SecCon,IT Expo和Cisco 网络ers等著名的行业论坛上做出了贡献。 Akhil还是Cisco Press标题“保护Cisco IP电话网络的安全’。

 

一定不要错过我们对Akhil受欢迎的评论 保护Cisco IP电话网络的安全 和关于 安全的CallManager Express通信-具有SRTP和TLS的加密VoIP会话.

读者可以在我们的网站上找到出色的语音相关技术文章 思科VoIP / CCME& CallManager Section.

面试问题

Q1。纯VoIP对混合系统有什么好处?

纯VoIP解决方案是整个VoIP产品组合的最新成员。服务提供商的SIP中继正在帮助通过IP(而不是TDM)访问隐蔽的PSTN世界。相对于混合VoIP系统,纯VoIP系统具有许多优点,例如:

  • 所有媒体和信令都完全基于IP,并且没有数字或TDM电路出现。反过来,这意味着生态系统内外的各个组件之间具有更好的互操作性。
  • 与混合系统相比,纯VoIP解决方案的配置,故障排除和监视要清晰得多。
  • 纯VoIP系统的安全性结构是提供者和使用者可以共同商定和部署的。换句话说,企业安全策略现在可以从通常的边界扩展到提供商的软交换/ SBC。

 

Q2。使用Cisco VoIP电话系统及其安全功能的主要优点/缺点和缺点是什么?

思科的IP电话/统一通信系统为从小型到中型到大型企业和SMB以及教育,金融,银行,能源部门和政府机构等各种垂直行业的消费者提供了世界一流的VoIP解决方案。当围绕Cisco IP电话/ UC解决方案的安全性进行讨论时,由于多种因素,其优点胜于缺点:

  • 思科IP电话终端和底层网络设备能够通过内置的安全功能提供强大的安全性
  • 思科IP电话产品组合利用行业标准加密技术,并与任何基于RFC标准的产品兼容
  • 思科工程技术将千方百计确保IP电话产品和应用程序提供丰富的用户体验。同时保持强大的安全状态
  • 思科高级服务可帮助用户设计,部署,操作和维护安全,稳定和强大的思科IP电话网络
  • 可以按需配置Cisco IP电话和网络应用程序/设备/服务器,以实现安全性以限制各种威胁

 

Q3。作为作者,请评论以下内容:您的书既可以用作参考,也可以作为Cisco IP电话实现的安全性指南。

在过去的10年中,我看到人们苦于缺乏完整的文本,这些文本无法作为参考,指南和帮助解决与思科UC的设计,部署,操作和维护有关的UC安全查询的伴侣。网络。我觉得缺少一本完整的文献资料,可以帮助您完成Cisco UC解决方案开发和构建的各个阶段,例如计划,准备,设计,实施,操作和优化(PPDIOO),以及将我所有的经验和知识汇总在一起的想法。以书的形式将统一通信和安全性这两个领域融合在一起。通常,来自一个领域的人不熟悉另一个领域的复杂性。本书旨在填补UC和安全领域之间原本突出的空白,并为专业人士,工程师,经理,利益相关者和高管提供指导和参考。

 

Q4。在处理Cisco Unified Communications安装时,当今最大的安全威胁是什么?

尽管思科UC解决方案存在许多隐患,但最主要的威胁如下:

  • 收费欺诈
  • 窃听
  • 会话/呼叫劫持
  • 假冒或身份盗用
  • DOS和DDOS攻击
  • 安全准则或政策不佳或缺乏
  • 缺乏对用户对企业资产(如UC服务)的责任的用户级培训或教育

如您所见,并非每种威胁都是技术威胁,而且存在与人为因素和组织因素有关的威胁。通常,重点仅在于技术威胁,而组织和决策者也应注意其他(非技术)因素,否则,就很难实现全面的安全性。

 

Q5。在CUCM / CUBE或CUCME上实现SIP中继时,应采取哪些步骤来确保避免Toll-Fraud?

既然有一个有趣的问题,收费欺诈是一个长期的问题。随着用于PSTN接入的SIP中继的出现,威胁面已经发生了演变,并且出现了许多新的威胁。尽管可以在呼叫控制和会话边界控制器(CUBE)级别上缓解大多数威胁,但是呼叫限制和特权的不正确配置以及实施不当的安全性结构最终可能导致通行费欺诈。为防止SIP中继上的收费欺诈,以下建议可能会有所帮助:

  • 确保为用户分配了正确的呼叫搜索空间(CSS)和分区(对于CUCM)或限制等级(对于CUCME,则为COR) 在线路/设备级别可以精确控制谁可以拨打
  • 对CUCM和CUCME实施下班后限制
  • 根据组织的策略,从Cisco Unity,Unity Connection和CUE禁用PSTN或拨出电话,或至少将其限制在理想的本地/国家/地区目的地
  • 实施强大的密码策略,以确保用户帐户不会受到暴力破解或基于字典的攻击
  • 对于诸如Cisco IP Communicator之类的软电话,请尝试使用扩展移动性,该扩展性使用户仅当使用正确的凭据登录到正确的配置文件时才可以拨打国际号码,从而提供了额外的安全性
  • 根据组织政策,不需要禁用PSTN到PSTN拨通电话
  • 在可能的情况下启用安全的SIP中继和SIP授权以向提供商进行中继注册
  • 在SRST网关处尽可能实施COR,以防止SRST事件期间的收费欺诈
  • 持续通过呼叫计费和报告软件(例如CAR)监视企业UC解决方案的使用情况,以检测任何特定模式或任何异常使用情况

Q6。思科IP电话系统的常见实现是将VoIP电话网络安装在单独的VLAN(语音VLAN)上,该VLAN通过通过应用于中央第3层交换机的访问列表进行限制的访问。这种通用做法是否足以提供基本级别的安全性?

好吧,我不仅会使用访问列表过滤第3层的流量,也不会在第2层进行VLAN隔离,还可以启用以下安全功能:

  • 港口安全
  • DHCP监听
  • 动态ARP检查(DAI)
  • 802.1x
  • 可信中继点(TRP)
  • 防火墙分区

等等,以确保整个语音VLAN中的合法终结点(无论是硬电话还是软电话)都可以访问企业网络和资源。尽管可以免费启用上述大多数功能,但重要的是要了解在生产网络中启用这些功能的影响,并确保它们符合企业的公司/ IP电话安全策略。 。

 

Q7。如果要求您检查客户的VoIP网络是否存在安全问题,那么执行安全检查的顺序是什么?假定使用IP电话的Cisco Unified Communications Manager Express(有线)&无线),可在具有多个VLAN(数据,语音,访客网络等)的Cisco Catalyst交换机和具有WLC控制器的Cisco Aironet接入点上运行。存在防火墙和路由器,以及远程VPN远程工作者

我评估客户语音网络安全性的第一步是要求他们提供任何近期或记录的安全事件,因为这将帮助我了解该事件可能在何处发生,如何发生以及主要的安全漏洞或威胁应该是什么?着眼于整体评估。

然后,我将从客户的安全策略开始,该策略可以是公司安全策略或特定于IP电话的安全策略,以了解他们如何根据业务流程来定位企业/ SMB通信的安全性。这是非常重要的,因为如果没有有关其业务流程是什么以及安全性如何与它们保持一致的适当信息,我就不能建议他们在网络中的正确位置实施正确的安全控制。这还确保了在防火墙级别以及远程办公者对呼叫控制,端点,交换基础结构,无线基础结构,路由基础结构应用安全性时,不会中断客户的日常业务。

在获得有关客户网络和安全策略的足够信息之后,我将开始检查访问交换机的配置,包括分发,核心到数据中心访问。接下来,我将介绍WLC和WAP配置,然后是IOS路由器和防火墙配置。

一旦在网络级别完成,我将在CUCME端继续进行数据收集和分析。随后将分析端点(有线和无线)以及用于通勤者的软电话。

在这一点上,我应该有足够的信息来进行安全评估,并向客户提供报告/反馈,并与客户进行讨论,以改善他们的安全状况,并构筑防范威胁和安全风险的机会与他们的业务相关。

 

Q8. At 防火墙,我们热切期待 liaison 与您一起,作为CCIE和Cisco IP电话专家。对于我们所有的读者和成员,对于所有想追寻您迈向Cisco IP电话事业的脚步的人,您的信息是什么?

大约十年前,我在Linksys支持下(Cisco Systems的一个部门)进入IT行业。然后,我在安全和AVVID团队中与Cisco TAC一起工作了两年,这使我对安全和电话领域的事物有了真正的了解。加入Cisco TAC之后,我加入了Cisco Advanced Services(AS)团队,负责负责面向客户项目的Cisco UC和安全产品组合。从那时起,我管理了一个顾问团队。在进行CCNA,CCVP,CCSP,CCDP和许多其他思科专家认证的过程中,我增强了自己的知识,并努力实现了我的第一个CCIE(用于语音)和第二个CCIE(用于安全性)。我是Cisco AS UC 安全 Tiger Team的共同负责人,并且一直在从事大量的UC 安全项目,咨询任务,讲习班,知识转移会议等。

差不多两年前,我决定写一本我感兴趣的书,即UC / IP电话安全。正如我在采访中前面提到的那样,我感到迫切需要一个标题,以弥合UC和Security域之间原本突出的鸿沟。

对于任何希望将自己的职业打入Cisco IP电话领域的人,我的建议是,确保您的基础知识牢固,因为产品可能会发生变化和变形,但是基础知识将始终保持不变。始终对自己诚实,尽一切努力确保完成工作/任务-牢记职业与个人生活之间的平衡。最后,进行自我培训或从Cisco / Partners获得有关新产品或服务的培训,以确保您跟上Cisco协作产品组合的趋势和变化。

返回思科作者&CCIE访谈科

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置