用25種方法來(lái)打造VoIP的網(wǎng)絡(luò )安全

作者：時(shí)間：2009-02-04 來(lái)源：網(wǎng)絡(luò )

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢(xún)

VoIP指的是在使用了互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡(luò )上進(jìn)行語(yǔ)音傳輸，其中的IP是代表互聯(lián)網(wǎng)協(xié)議，它是互聯(lián)網(wǎng)的中樞，互聯(lián)網(wǎng)協(xié)議可以將電子郵件、即時(shí)信息以及網(wǎng)頁(yè)傳輸到成千上萬(wàn)的PC或者手機上。有人說(shuō)它是電信殺手,也有人說(shuō)它是國際事務(wù)中的革命性因素?？傊蹬跎醵?。但是，也許在你使用這項服務(wù)的時(shí)候，也許正有一位黑客竊取你的個(gè)人信息甚至搞毀你的網(wǎng)絡(luò )。

所有影響數據網(wǎng)絡(luò )的攻擊都可能會(huì )影響到VoIP網(wǎng)絡(luò )，如病毒、垃圾郵件、非法侵入、DoS、劫持電話(huà)、偷聽(tīng)、數據嗅探等。唯一的不同是，我們更樂(lè )于采取一些措施來(lái)保護其它的網(wǎng)絡(luò )。對于VoIP，卻鮮有什么具體措施。事實(shí)上，只有我們采取一些保護措施，這項技術(shù)才可能取得真正的成功。

下面探討25種可以保護VoIP的方法：

1、限制所有的VoIP數據只能傳輸到一個(gè)VLAN上

Cisco建議對語(yǔ)音和數據分別劃分VLAN，這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數據。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽(tīng)、劫持通信等。VLAN的劃分使用戶(hù)的計算機形成了一個(gè)有效的封閉的圈子，它不允許任何其它計算機訪(fǎng)問(wèn)其設備，從而也就避免了電腦的攻擊，VoIP網(wǎng)絡(luò )也就相當安全；即使受到攻擊，也會(huì )將損失降到最低。

2、監控并跟蹤VoIP網(wǎng)絡(luò )的通信模式

監控工具和入侵探測系統能幫助用戶(hù)識別那些侵入VoIP網(wǎng)絡(luò )的企圖。詳細觀(guān)察VoIP日志可以幫助發(fā)現一些不規則的東西，如莫名其妙的國際電話(huà)或是本公司或組織基本不聯(lián)系的國際電話(huà)，多重登錄試圖破解密碼，語(yǔ)音暴增等。

3、保護VoIP服務(wù)器

必須采取效措施來(lái)保障服務(wù)器的安全以抵御來(lái)自?xún)炔炕蛲獠康娜肭终哂眯崽郊夹g(shù)來(lái)截獲數據。因為 VoIP電話(huà)機擁有固定的IP地址和MAC地址，所以攻擊者易于據此潛入。建議用戶(hù)限制IP和MAC地址，不允許隨便訪(fǎng)問(wèn)VoIP系統的超級用戶(hù)界面,并在SIP網(wǎng)關(guān)之前建立另一道防火墻，這樣就會(huì )在一定程度上限制對于網(wǎng)絡(luò )系統的侵入。

4、使用多重加密

僅僅對發(fā)送的數據包加密是遠遠不夠的,必須對所有的電話(huà)信號進(jìn)行加密。對話(huà)音加密會(huì )防止攔截者的語(yǔ)音插入到用戶(hù)會(huì )話(huà)中。在這方面，SRTP協(xié)議能夠對端點(diǎn)通信加密，TLS能夠對整個(gè)通信過(guò)程加密。應該通過(guò)在網(wǎng)關(guān)、網(wǎng)絡(luò )、主機層面上提供強大的保護來(lái)支持語(yǔ)音傳輸加密。

5、建立VoIP網(wǎng)絡(luò )的冗余機制

要時(shí)刻準備著(zhù)可能會(huì )遭到病毒、DoS攻擊，它們可能會(huì )導致網(wǎng)絡(luò )系統癱瘓。構建能夠設置多層節點(diǎn)、網(wǎng)關(guān)、服務(wù)器、電源及呼叫路由器的網(wǎng)絡(luò )系統,并與不只一個(gè)供應商互聯(lián)。經(jīng)常性的對各個(gè)網(wǎng)絡(luò )系統進(jìn)行考驗，確保其工作良好，當主服務(wù)網(wǎng)絡(luò )癱瘓時(shí)，備用設施可以迅速接管工作。

6、將設備置于防火墻之后

建立分離的防火墻，這樣通過(guò)VLAN邊界的通信僅限于可用的協(xié)議。萬(wàn)一客戶(hù)端受到感染的話(huà)，這會(huì )防止病毒、木馬擴散到服務(wù)器。建立分離的防火墻后，系統安全策略的維護也會(huì )變得簡(jiǎn)單。當需要時(shí)，必須正確配置防火墻以便開(kāi)放或關(guān)閉某些端口。

7、定期更新補丁

VoIP網(wǎng)絡(luò )的安全性，既依賴(lài)于底層的操作系統又依賴(lài)于運行其上的應用軟件。保持操作系統及VoIP應用軟件補丁及時(shí)更新對于防御惡意程序或傳染性程序代碼是非常重要的。

8、將內部網(wǎng)絡(luò )與Internet分開(kāi)

將電話(huà)管理系統與網(wǎng)絡(luò )系統置于國際互聯(lián)網(wǎng)絡(luò )直接訪(fǎng)問(wèn)之外是一個(gè)不錯的選擇，將語(yǔ)音服務(wù)與其它服務(wù)器置于相分離的域中，并限制對其訪(fǎng)問(wèn)。

9、將軟終端電話(huà)（softphone）的使用減至最少

VoIP軟終端電話(huà)易于遭受電腦黑客攻擊，即使它位于公司防火墻之后，因為這種東西是與普通的PC、VoIP軟件及一對耳機一起使用的。而且，軟終端電話(huà)并沒(méi)有將語(yǔ)音和數據分開(kāi)，因此，易于受到病毒和蠕蟲(chóng)的攻擊。

10、定期進(jìn)行安全審查

對于超級用戶(hù)和一般用戶(hù)的活動(dòng)進(jìn)行檢查可以發(fā)現一些問(wèn)題。一些釣魚(yú)企圖可以被阻止，垃圾信息可以被過(guò)濾，入侵者也可以被阻斷。

11、對于實(shí)際安全性進(jìn)行評估

要確信只有經(jīng)過(guò)鑒別的設備和用戶(hù)，才可以訪(fǎng)問(wèn)那些經(jīng)過(guò)限制的以太網(wǎng)端口。管理員常常被欺騙，接授那些沒(méi)有經(jīng)過(guò)允許的軟終端電話(huà)的請求，因為黑客們能夠通過(guò)插入RJ44端口輕易地模仿IP地址和MAC地址。

12、使用提供數字安全證書(shū)的商家

如果IP電話(huà)商能夠提供證明書(shū)來(lái)對設備進(jìn)行認證，用戶(hù)基本上可以確信其通信是安全的，并且不會(huì )廣播到其它設備。

13、確保網(wǎng)關(guān)的安全

要配置網(wǎng)關(guān)，使那些只有經(jīng)過(guò)允許的用戶(hù)才可以打出或接收VoIP電話(huà)，列示那些經(jīng)過(guò)鑒別和核準的用戶(hù)，這可以確保其它人不能占線(xiàn)打免費電話(huà)。通過(guò)SPI防火墻、應用層網(wǎng)關(guān)、網(wǎng)絡(luò )地址轉換工具、SIP對VoIP軟客戶(hù)端的支持等的組合，來(lái)保護網(wǎng)關(guān)和位于其后的局域網(wǎng)。

14、分別管理服務(wù)器

VoIP電話(huà)服務(wù)器常常是攻擊者的靶子,因為它們是任何一個(gè)VoIP網(wǎng)絡(luò )的心臟。服務(wù)器的一些內在的致命弱點(diǎn)包括其操作系統、服務(wù)及它所支持的應用軟件。要將黑客對服務(wù)器的攻擊降至最小程度，就要對VoIP傳輸信號的不同服務(wù)器分別進(jìn)行管理。
15、對SIP(會(huì )話(huà)初始協(xié)議)通信進(jìn)行排序

徹底檢查網(wǎng)絡(luò )SIP通信,檢查那些不正常的信息包及通信模式，這些措施有助于切斷那些非常短小的虛假會(huì )話(huà)。SIP信號中的語(yǔ)法和語(yǔ)義的異常、不規則事件、順序錯亂會(huì )指明攻擊正在或將要開(kāi)始。

16、檢查應用層的呼叫設置請求

VoIP 電話(huà)易于被外部的那些可以訪(fǎng)問(wèn)網(wǎng)絡(luò )的人劫持，管理員需要設置安全策略，這樣，只有呼叫請求與已有策略一致時(shí)才可以被接受。

17、隔離語(yǔ)音通信

對于外部通信來(lái)說(shuō)，要依靠虛擬私有網(wǎng)絡(luò )（VPN）。分離語(yǔ)音與數據通信以阻止那些竊聽(tīng)用戶(hù)談話(huà)的企圖。思科有關(guān)專(zhuān)家建議，要阻止PC端口訪(fǎng)問(wèn)語(yǔ)音VLAN。

18、使用代理服務(wù)器

通過(guò)使用代理服務(wù)器來(lái)處理進(jìn)出網(wǎng)絡(luò )的數據，借以保護用戶(hù)的網(wǎng)絡(luò )。

19、只運行需要提供和維持VoIP服務(wù)的應用軟件

事實(shí)上，VoIP應用軟件使用加密的數據，也可能招致DoS攻擊。攻擊者可以隱藏在加密的掩護之后來(lái)避免其活動(dòng)遭到監視。思科專(zhuān)家認為，信號在用戶(hù)代理和SIP代理之間傳輸時(shí)，要通過(guò)集成SSL通道和SIP代理的方法確保認證完整性。

20、配置應用程序防止濫用或誤用

通過(guò)準備一個(gè)被允許呼叫的目的地列表，來(lái)防止網(wǎng)絡(luò )被濫用于長(cháng)途電話(huà)、釣魚(yú)欺詐和非法電話(huà)。

新聞中心

用25種方法來(lái)打造VoIP的網(wǎng)絡(luò )安全

評論

相關(guān)推薦

技術(shù)專(zhuān)區