一體化手段破解VoIP安全難題
VoIP在企業(yè)通信中的應(yīng)用范圍越來越廣,已經(jīng)深入到了企業(yè)的各個管理流程,除了費用的節(jié)省之外,整合式的通訊能力直接提升了企業(yè)運營效率。企業(yè)在部署VoIP系統(tǒng)時,除了對服務(wù)質(zhì)量等問題的關(guān)注外,對安全問題最為重視。VoIP所面臨的一系列安全隱患,實際上是互聯(lián)網(wǎng)絡(luò)上存在的若干安全問題的延續(xù)。只有很好地解決了網(wǎng)絡(luò)的安全問題,同時配合VoIP產(chǎn)品本身的一些安全認證機制,基于VoIP的應(yīng)用才能夠在企業(yè)中持久穩(wěn)定地發(fā)揮作用,并成為解決企業(yè)話音通信需求的有效方法。
預(yù)先防范更重要
預(yù)先防范是解決網(wǎng)絡(luò)安全問題的最好辦法,這也適用于VoIP。雖然這是一個老生常談的話題,但是很多企業(yè)卻沒有在部署VoIP系統(tǒng)時給予安全問題足夠的重視,尤其是亞太地區(qū)更為明顯。有市場研究機構(gòu)調(diào)查表明,目前亞太地區(qū)的服務(wù)供應(yīng)商在VoIP安全性方面的支出遠遠落后于美國和歐洲,并且這一差距未來還將會進一步加大,預(yù)計2008年亞太區(qū)在該方面的支出約為1.7億美元,而亞太以外其他地區(qū)的總支出將超過3.7億美元。這充分說明了當(dāng)前亞太區(qū)在VoIP安全意識方面的欠缺。
上海貝爾阿爾卡特業(yè)務(wù)通信公司高級經(jīng)理顧均卓認為:“為了保證企業(yè)VoIP的安全,用戶在選擇VoIP系統(tǒng)時,應(yīng)該選用已經(jīng)內(nèi)置了安全保護的系統(tǒng)?!彼M一步說明VoIP安全威脅主要來自于網(wǎng)絡(luò)的病毒和黑客對數(shù)據(jù)網(wǎng)絡(luò)的各種攻擊以及網(wǎng)絡(luò)的硬件設(shè)備自身出現(xiàn)的問題。一般來說,面向語音通信服務(wù)器的網(wǎng)絡(luò)攻擊,主要通過遠端維護的方式進入,從網(wǎng)絡(luò)攻擊的角度看,主要通過Telnet方式接入。造成的危害有:影響話音質(zhì)量、語音系統(tǒng)和應(yīng)用的連接中斷等,最嚴重時會出現(xiàn)因為數(shù)據(jù)網(wǎng)絡(luò)的阻塞和中斷,導(dǎo)致語音網(wǎng)絡(luò)出現(xiàn)通信故障。
Juniper網(wǎng)絡(luò)公司中國區(qū)系統(tǒng)工程師梁小東也認為企業(yè)在部署VoIP系統(tǒng)的時候,也應(yīng)該設(shè)定相應(yīng)的一體化安全防護手段。
企業(yè)VoIP實質(zhì)上只是IP網(wǎng)絡(luò)上的一種應(yīng)用,和電子郵件、Web瀏覽等類似。如今典型的企業(yè)IP電話系統(tǒng)其基本要素包括:呼叫控制服務(wù)器;VoIP客戶機;VoIP網(wǎng)關(guān)。所以理論上說VoIP系統(tǒng)和其他網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用一樣容易遭到攻擊。面臨的一系列潛在威脅包括:拒絕服務(wù)攻擊、病毒、蠕蟲、特洛伊木馬、數(shù)據(jù)包嗅探、垃圾郵件和網(wǎng)絡(luò)釣魚等。
就目前來看,業(yè)界很少有關(guān)于VoIP系統(tǒng)受到大規(guī)模攻擊的報道,不過這并不代表著VoIP系統(tǒng)比其他網(wǎng)絡(luò)應(yīng)用更加安全。實際上,這種情況的發(fā)生很大程度上是和VoIP系統(tǒng)本身標(biāo)準(zhǔn)化程度不足,各個廠商之間設(shè)備互通性差聯(lián)系在一起的。VoIP的非標(biāo)準(zhǔn)化雖然增加了企業(yè)的使用成本,但是卻“意外”地加大了黑客入侵的難度。但是這并不意味著企業(yè)可以削減在VoIP安全上的投資,這是因為隨著VoIP使用范圍的不斷擴大,VoIP標(biāo)準(zhǔn)化也隨之增強。
梁小東對《中國電子報》記者說:“已經(jīng)出現(xiàn)了針對目前流行的VoIP通信協(xié)議SIP的攻擊方式,可以讓企業(yè)的VoIP通話中斷。”
用老辦法解決新問題
VoIP面臨的安全威脅類型和大多數(shù)互聯(lián)網(wǎng)應(yīng)用一樣,所以從這個角度來說,人們可以把防護其他應(yīng)用安全的措施轉(zhuǎn)移到VoIP系統(tǒng)中來。比如在IP傳輸層使用防火墻,用IPS/IDS解決方案進行更深入的分析,使用應(yīng)用程序或者協(xié)議分析器等。
可喜的是目前流行的防火墻在最新的發(fā)布版本中都有VoIP功能。這對VoIP安全程度的提高大有幫助。當(dāng)然,要保障VoIP的安全,僅僅把原來的安全措施遷移過來還不夠,需要針對VoIP自身的特點進行優(yōu)化。{{分頁}}
普遍意義上說為了企業(yè)VoIP系統(tǒng)的安全,可以采取下面幾種手段:保護賬戶安全,在建立和升級賬戶過程中,為用戶提供的資源應(yīng)當(dāng)通過具有可靠的認證機制的加密隧道進行;保護網(wǎng)絡(luò)安全,最好讓語音適配器能夠與已有的防火墻/路由器保持同步;保護呼叫安全,挑選包含VPN功能的設(shè)備;保證服務(wù)鏈的安全。
對于如何解決VoIP的安全問題,專業(yè)廠商也推出了自己的解決方案。
阿爾卡特朗訊的IP語音通信系統(tǒng)——OmniPCX
Enterprise交換機已經(jīng)內(nèi)置了安全防護系統(tǒng)。主要采用如下手段:削減Linux標(biāo)準(zhǔn)版操作系統(tǒng)中與IP語音通信無關(guān)的部分(非必要部分),把500M源代碼削減至70M;縮減Linux分布式系統(tǒng)所需的TCP端口;采用可適應(yīng)的Linux應(yīng)用程序;加入掃描軟件;對OmniPCX
Enterprise通信服務(wù)器的訪問采用可信的ssh、sftp、scp機制,用來替代telnet、ftp、rcp等。
Juniper推出的防火墻則利用對通訊協(xié)議的分析來識別應(yīng)用,把行為管理和安全問題聯(lián)合進行處理。
目前VoIP還有向統(tǒng)一通信發(fā)展的趨勢,多種通信方式的整合也在一定程度上增加了安全風(fēng)險。廠商應(yīng)當(dāng)為未來可能發(fā)生的風(fēng)險早做準(zhǔn)備,根據(jù)統(tǒng)一通訊整合式通信的特點,針對其不同的應(yīng)用,開發(fā)出有針對性的安全防護機制。
平衡安全與性能
VoIP的安全問題確實值得重視,但是由于VoIP是一種語音通信方式,對業(yè)務(wù)的實時性要求非常高,企業(yè)在加強VoIP系統(tǒng)安全時要注意平衡安全與性能之間的關(guān)系。
通常意義上,為了達到和PSTN相媲美的語音通話質(zhì)量,VoIP單向流量的時延不得超過150毫秒,否則用戶體驗將會異常糟糕。一般來說語音編碼可能占用30毫秒的時間,橫跨長距離在公共IP網(wǎng)絡(luò)上傳送的語音呼叫可能占用長達100毫秒、甚至125毫秒的時間。在這種情況下,如果防火墻、加密和入侵防御等安全措施帶來的時延過多的話,必然會大大影響客戶的使用體驗。
已經(jīng)有很多企業(yè)對VoIP的通話質(zhì)量進行了抱怨,認為其和PSTN無法相比,而且還有回音出現(xiàn),這大大影響企業(yè)部署VoIP系統(tǒng)的積極性。所以很難想象一個影響VoIP使用體驗的安全系統(tǒng)能夠得到客戶的歡迎,這一問題值得致力于VoIP安全的企業(yè)去高度重視,找到有效的解決手段。
除了要平衡安全與性能之間的關(guān)系之外,值得注意的是安全是一整套體系。網(wǎng)絡(luò)安全不是一個點的概念,而是一個面的概念,要采用一個整體的安全防范體系。VoIP系統(tǒng)的安全不能和其他網(wǎng)絡(luò)應(yīng)用互相割裂開來,要對他們進行綜合考慮,并且注意整體的投資收益問題。
評論