新聞中心

EEPW首頁(yè) > 設(shè)計(jì)應(yīng)用 > 用25種方法來(lái)打造VoIP的網(wǎng)絡(luò)安全

用25種方法來(lái)打造VoIP的網(wǎng)絡(luò)安全

作者: 時(shí)間:2009-02-04 來(lái)源:網(wǎng)絡(luò) 收藏
VoIP指的是在使用了互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡(luò)上進(jìn)行語(yǔ)音傳輸,其中的IP是代表互聯(lián)網(wǎng)協(xié)議,它是互聯(lián)網(wǎng)的中樞,互聯(lián)網(wǎng)協(xié)議可以將電子郵件、即時(shí)信息以及網(wǎng)頁(yè)傳輸?shù)匠汕先f(wàn)的PC或者手機(jī)上。有人說(shuō)它是電信殺手,也有人說(shuō)它是國(guó)際事務(wù)中的革命性因素??傊蹬跎醵唷5?,也許在你使用這項(xiàng)服務(wù)的時(shí)候,也許正有一位黑客竊取你的個(gè)人信息甚至搞毀你的網(wǎng)絡(luò)。

所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會(huì)影響到VoIP網(wǎng)絡(luò),如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽(tīng)、數(shù)據(jù)嗅探等。唯一的不同是,我們更樂(lè)于采取一些措施來(lái)保護(hù)其它的網(wǎng)絡(luò)。對(duì)于VoIP,卻鮮有什么具體措施。事實(shí)上,只有我們采取一些保護(hù)措施,這項(xiàng)技術(shù)才可能取得真正的成功。

下面探討25種可以保護(hù)VoIP的方法:

1、限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€(gè)VLAN上

Cisco建議對(duì)語(yǔ)音和數(shù)據(jù)分別劃分VLAN,這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數(shù)據(jù)。劃分VLAN也有助于防御費(fèi)用欺詐、DoS攻擊、竊聽(tīng)、劫持通信等。VLAN的劃分使用戶(hù)的計(jì)算機(jī)形成了一個(gè)有效的封閉的圈子,它不允許任何其它計(jì)算機(jī)訪問(wèn)其設(shè)備,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊,也會(huì)將損失降到最低。

2、監(jiān)控并跟蹤VoIP網(wǎng)絡(luò)的通信模式

監(jiān)控工具和入侵探測(cè)系統(tǒng)能幫助用戶(hù)識(shí)別那些侵入VoIP網(wǎng)絡(luò)的企圖。詳細(xì)觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西,如莫名其妙的國(guó)際電話或是本公司或組織基本不聯(lián)系的國(guó)際電話,多重登錄試圖破解密碼,語(yǔ)音暴增等。

3、保護(hù)VoIP服務(wù)器

必須采取效措施來(lái)保障服務(wù)器的安全以抵御來(lái)自?xún)?nèi)部或外部的入侵者用嗅探技術(shù)來(lái)截獲數(shù)據(jù)。因?yàn)?VoIP電話機(jī)擁有固定的IP地址和MAC地址,所以攻擊者易于據(jù)此潛入。建議用戶(hù)限制IP和MAC地址,不允許隨便訪問(wèn)VoIP系統(tǒng)的超級(jí)用戶(hù)界面,并在SIP網(wǎng)關(guān)之前建立另一道防火墻,這樣就會(huì)在一定程度上限制對(duì)于網(wǎng)絡(luò)系統(tǒng)的侵入。

4、使用多重加密

僅僅對(duì)發(fā)送的數(shù)據(jù)包加密是遠(yuǎn)遠(yuǎn)不夠的,必須對(duì)所有的電話信號(hào)進(jìn)行加密。對(duì)話音加密會(huì)防止攔截者的語(yǔ)音插入到用戶(hù)會(huì)話中。在這方面,SRTP協(xié)議能夠?qū)Χ它c(diǎn)通信加密,TLS能夠?qū)φ麄€(gè)通信過(guò)程加密。應(yīng)該通過(guò)在網(wǎng)關(guān)、網(wǎng)絡(luò)、主機(jī)層面上提供強(qiáng)大的保護(hù)來(lái)支持語(yǔ)音傳輸加密。

5、建立VoIP網(wǎng)絡(luò)的冗余機(jī)制

要時(shí)刻準(zhǔn)備著可能會(huì)遭到病毒、DoS攻擊,它們可能會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。構(gòu)建能夠設(shè)置多層節(jié)點(diǎn)、網(wǎng)關(guān)、服務(wù)器、電源及呼叫路由器的網(wǎng)絡(luò)系統(tǒng),并與不只一個(gè)供應(yīng)商互聯(lián)。經(jīng)常性的對(duì)各個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行考驗(yàn),確保其工作良好,當(dāng)主服務(wù)網(wǎng)絡(luò)癱瘓時(shí),備用設(shè)施可以迅速接管工作。

6、將設(shè)備置于防火墻之后

建立分離的防火墻,這樣通過(guò)VLAN邊界的通信僅限于可用的協(xié)議。萬(wàn)一客戶(hù)端受到感染的話,這會(huì)防止病毒、木馬擴(kuò)散到服務(wù)器。建立分離的防火墻后,系統(tǒng)安全策略的維護(hù)也會(huì)變得簡(jiǎn)單。當(dāng)需要時(shí),必須正確配置防火墻以便開(kāi)放或關(guān)閉某些端口。

7、定期更新補(bǔ)丁

VoIP網(wǎng)絡(luò)的安全性,既依賴(lài)于底層的操作系統(tǒng)又依賴(lài)于運(yùn)行其上的應(yīng)用軟件。保持操作系統(tǒng)及VoIP應(yīng)用軟件補(bǔ)丁及時(shí)更新對(duì)于防御惡意程序或傳染性程序代碼是非常重要的。

8、將內(nèi)部網(wǎng)絡(luò)與Internet分開(kāi)

將電話管理系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)置于國(guó)際互聯(lián)網(wǎng)絡(luò)直接訪問(wèn)之外是一個(gè)不錯(cuò)的選擇,將語(yǔ)音服務(wù)與其它服務(wù)器置于相分離的域中,并限制對(duì)其訪問(wèn)。

9、將軟終端電話(softphone)的使用減至最少

VoIP軟終端電話易于遭受電腦黑客攻擊,即使它位于公司防火墻之后,因?yàn)檫@種東西是與普通的PC、VoIP軟件及一對(duì)耳機(jī)一起使用的。而且,軟終端電話并沒(méi)有將語(yǔ)音和數(shù)據(jù)分開(kāi),因此,易于受到病毒和蠕蟲(chóng)的攻擊。

10、定期進(jìn)行安全審查

對(duì)于超級(jí)用戶(hù)和一般用戶(hù)的活動(dòng)進(jìn)行檢查可以發(fā)現(xiàn)一些問(wèn)題。一些釣魚(yú)企圖可以被阻止,垃圾信息可以被過(guò)濾,入侵者也可以被阻斷。

11、對(duì)于實(shí)際安全性進(jìn)行評(píng)估

要確信只有經(jīng)過(guò)鑒別的設(shè)備和用戶(hù),才可以訪問(wèn)那些經(jīng)過(guò)限制的以太網(wǎng)端口。管理員常常被欺騙,接授那些沒(méi)有經(jīng)過(guò)允許的軟終端電話的請(qǐng)求,因?yàn)楹诳蛡兡軌蛲ㄟ^(guò)插入RJ44端口輕易地模仿IP地址和MAC地址。

12、使用提供數(shù)字安全證書(shū)的商家

如果IP電話商能夠提供證明書(shū)來(lái)對(duì)設(shè)備進(jìn)行認(rèn)證,用戶(hù)基本上可以確信其通信是安全的,并且不會(huì)廣播到其它設(shè)備。

13、確保網(wǎng)關(guān)的安全

要配置網(wǎng)關(guān),使那些只有經(jīng)過(guò)允許的用戶(hù)才可以打出或接收VoIP電話,列示那些經(jīng)過(guò)鑒別和核準(zhǔn)的用戶(hù),這可以確保其它人不能占線打免費(fèi)電話。通過(guò)SPI防火墻、應(yīng)用層網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換工具、SIP對(duì)VoIP軟客戶(hù)端的支持等的組合,來(lái)保護(hù)網(wǎng)關(guān)和位于其后的局域網(wǎng)。

14、分別管理服務(wù)器

VoIP電話服務(wù)器常常是攻擊者的靶子,因?yàn)樗鼈兪侨魏我粋€(gè)VoIP網(wǎng)絡(luò)的心臟。服務(wù)器的一些內(nèi)在的致命弱點(diǎn)包括其操作系統(tǒng)、服務(wù)及它所支持的應(yīng)用軟件。要將黑客對(duì)服務(wù)器的攻擊降至最小程度,就要對(duì)VoIP傳輸信號(hào)的不同服務(wù)器分別進(jìn)行管理。
15、對(duì)SIP(會(huì)話初始協(xié)議)通信進(jìn)行排序

徹底檢查網(wǎng)絡(luò)SIP通信,檢查那些不正常的信息包及通信模式,這些措施有助于切斷那些非常短小的虛假會(huì)話。SIP信號(hào)中的語(yǔ)法和語(yǔ)義的異常、不規(guī)則事件、順序錯(cuò)亂會(huì)指明攻擊正在或?qū)⒁_(kāi)始。

16、檢查應(yīng)用層的呼叫設(shè)置請(qǐng)求

VoIP 電話易于被外部的那些可以訪問(wèn)網(wǎng)絡(luò)的人劫持,管理員需要設(shè)置安全策略,這樣,只有呼叫請(qǐng)求與已有策略一致時(shí)才可以被接受。

17、隔離語(yǔ)音通信

對(duì)于外部通信來(lái)說(shuō),要依靠虛擬私有網(wǎng)絡(luò)(VPN)。分離語(yǔ)音與數(shù)據(jù)通信以阻止那些竊聽(tīng)用戶(hù)談話的企圖。思科有關(guān)專(zhuān)家建議,要阻止PC端口訪問(wèn)語(yǔ)音VLAN。

18、使用代理服務(wù)器

通過(guò)使用代理服務(wù)器來(lái)處理進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù),借以保護(hù)用戶(hù)的網(wǎng)絡(luò)。

19、只運(yùn)行需要提供和維持VoIP服務(wù)的應(yīng)用軟件

事實(shí)上,VoIP應(yīng)用軟件使用加密的數(shù)據(jù),也可能招致DoS攻擊。攻擊者可以隱藏在加密的掩護(hù)之后來(lái)避免其活動(dòng)遭到監(jiān)視。思科專(zhuān)家認(rèn)為,信號(hào)在用戶(hù)代理和SIP代理之間傳輸時(shí),要通過(guò)集成SSL通道和SIP代理的方法確保認(rèn)證完整性。

20、配置應(yīng)用程序防止濫用或誤用

通過(guò)準(zhǔn)備一個(gè)被允許呼叫的目的地列表,來(lái)防止網(wǎng)絡(luò)被濫用于長(zhǎng)途電話、釣魚(yú)欺詐和非法電話。
上一頁(yè) 1 2 下一頁(yè)

評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉