一體化手段破解VoIP安全難題

——

作者：楊慶廣時(shí)間：2008-01-21 來(lái)源：中國(guó)電子報(bào)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對(duì)面交流
  海量資料庫(kù)查詢

　　VoIP在企業(yè)通信中的應(yīng)用范圍越來(lái)越廣，已經(jīng)深入到了企業(yè)的各個(gè)管理流程，除了費(fèi)用的節(jié)省之外，整合式的通訊能力直接提升了企業(yè)運(yùn)營(yíng)效率。企業(yè)在部署VoIP系統(tǒng)時(shí)，除了對(duì)服務(wù)質(zhì)量等問(wèn)題的關(guān)注外，對(duì)安全問(wèn)題最為重視。VoIP所面臨的一系列安全隱患，實(shí)際上是互聯(lián)網(wǎng)絡(luò)上存在的若干安全問(wèn)題的延續(xù)。只有很好地解決了網(wǎng)絡(luò)的安全問(wèn)題，同時(shí)配合VoIP產(chǎn)品本身的一些安全認(rèn)證機(jī)制，基于VoIP的應(yīng)用才能夠在企業(yè)中持久穩(wěn)定地發(fā)揮作用，并成為解決企業(yè)話音通信需求的有效方法。

預(yù)先防范更重要

　　預(yù)先防范是解決網(wǎng)絡(luò)安全問(wèn)題的最好辦法，這也適用于VoIP。雖然這是一個(gè)老生常談的話題，但是很多企業(yè)卻沒(méi)有在部署VoIP系統(tǒng)時(shí)給予安全問(wèn)題足夠的重視，尤其是亞太地區(qū)更為明顯。有市場(chǎng)研究機(jī)構(gòu)調(diào)查表明，目前亞太地區(qū)的服務(wù)供應(yīng)商在VoIP安全性方面的支出遠(yuǎn)遠(yuǎn)落后于美國(guó)和歐洲，并且這一差距未來(lái)還將會(huì)進(jìn)一步加大，預(yù)計(jì)2008年亞太區(qū)在該方面的支出約為1.7億美元，而亞太以外其他地區(qū)的總支出將超過(guò)3.7億美元。這充分說(shuō)明了當(dāng)前亞太區(qū)在VoIP安全意識(shí)方面的欠缺。

　　上海貝爾阿爾卡特業(yè)務(wù)通信公司高級(jí)經(jīng)理顧均卓認(rèn)為：“為了保證企業(yè)VoIP的安全，用戶在選擇VoIP系統(tǒng)時(shí)，應(yīng)該選用已經(jīng)內(nèi)置了安全保護(hù)的系統(tǒng)?！彼M(jìn)一步說(shuō)明VoIP安全威脅主要來(lái)自于網(wǎng)絡(luò)的病毒和黑客對(duì)數(shù)據(jù)網(wǎng)絡(luò)的各種攻擊以及網(wǎng)絡(luò)的硬件設(shè)備自身出現(xiàn)的問(wèn)題。一般來(lái)說(shuō)，面向語(yǔ)音通信服務(wù)器的網(wǎng)絡(luò)攻擊，主要通過(guò)遠(yuǎn)端維護(hù)的方式進(jìn)入，從網(wǎng)絡(luò)攻擊的角度看，主要通過(guò)Telnet方式接入。造成的危害有：影響話音質(zhì)量、語(yǔ)音系統(tǒng)和應(yīng)用的連接中斷等，最嚴(yán)重時(shí)會(huì)出現(xiàn)因?yàn)閿?shù)據(jù)網(wǎng)絡(luò)的阻塞和中斷，導(dǎo)致語(yǔ)音網(wǎng)絡(luò)出現(xiàn)通信故障。

　　Juniper網(wǎng)絡(luò)公司中國(guó)區(qū)系統(tǒng)工程師梁小東也認(rèn)為企業(yè)在部署VoIP系統(tǒng)的時(shí)候，也應(yīng)該設(shè)定相應(yīng)的一體化安全防護(hù)手段。

　　企業(yè)VoIP實(shí)質(zhì)上只是IP網(wǎng)絡(luò)上的一種應(yīng)用，和電子郵件、Web瀏覽等類似。如今典型的企業(yè)IP電話系統(tǒng)其基本要素包括：呼叫控制服務(wù)器；VoIP客戶機(jī)；VoIP網(wǎng)關(guān)。所以理論上說(shuō)VoIP系統(tǒng)和其他網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用一樣容易遭到攻擊。面臨的一系列潛在威脅包括：拒絕服務(wù)攻擊、病毒、蠕蟲(chóng)、特洛伊木馬、數(shù)據(jù)包嗅探、垃圾郵件和網(wǎng)絡(luò)釣魚(yú)等。

　　就目前來(lái)看，業(yè)界很少有關(guān)于VoIP系統(tǒng)受到大規(guī)模攻擊的報(bào)道，不過(guò)這并不代表著VoIP系統(tǒng)比其他網(wǎng)絡(luò)應(yīng)用更加安全。實(shí)際上，這種情況的發(fā)生很大程度上是和VoIP系統(tǒng)本身標(biāo)準(zhǔn)化程度不足，各個(gè)廠商之間設(shè)備互通性差聯(lián)系在一起的。VoIP的非標(biāo)準(zhǔn)化雖然增加了企業(yè)的使用成本，但是卻“意外”地加大了黑客入侵的難度。但是這并不意味著企業(yè)可以削減在VoIP安全上的投資，這是因?yàn)殡S著VoIP使用范圍的不斷擴(kuò)大，VoIP標(biāo)準(zhǔn)化也隨之增強(qiáng)。

　　梁小東對(duì)《中國(guó)電子報(bào)》記者說(shuō)：“已經(jīng)出現(xiàn)了針對(duì)目前流行的VoIP通信協(xié)議SIP的攻擊方式，可以讓企業(yè)的VoIP通話中斷?！?/FONT>

用老辦法解決新問(wèn)題

　　VoIP面臨的安全威脅類型和大多數(shù)互聯(lián)網(wǎng)應(yīng)用一樣，所以從這個(gè)角度來(lái)說(shuō)，人們可以把防護(hù)其他應(yīng)用安全的措施轉(zhuǎn)移到VoIP系統(tǒng)中來(lái)。比如在IP傳輸層使用防火墻，用IPS/IDS解決方案進(jìn)行更深入的分析，使用應(yīng)用程序或者協(xié)議分析器等。

　　可喜的是目前流行的防火墻在最新的發(fā)布版本中都有VoIP功能。這對(duì)VoIP安全程度的提高大有幫助。當(dāng)然，要保障VoIP的安全，僅僅把原來(lái)的安全措施遷移過(guò)來(lái)還不夠，需要針對(duì)VoIP自身的特點(diǎn)進(jìn)行優(yōu)化。{{分頁(yè)}}

　　普遍意義上說(shuō)為了企業(yè)VoIP系統(tǒng)的安全，可以采取下面幾種手段：保護(hù)賬戶安全，在建立和升級(jí)賬戶過(guò)程中，為用戶提供的資源應(yīng)當(dāng)通過(guò)具有可靠的認(rèn)證機(jī)制的加密隧道進(jìn)行；保護(hù)網(wǎng)絡(luò)安全，最好讓語(yǔ)音適配器能夠與已有的防火墻/路由器保持同步；保護(hù)呼叫安全，挑選包含VPN功能的設(shè)備；保證服務(wù)鏈的安全。

　　對(duì)于如何解決VoIP的安全問(wèn)題，專業(yè)廠商也推出了自己的解決方案。

　　阿爾卡特朗訊的IP語(yǔ)音通信系統(tǒng)——OmniPCX

　　Enterprise交換機(jī)已經(jīng)內(nèi)置了安全防護(hù)系統(tǒng)。主要采用如下手段：削減Linux標(biāo)準(zhǔn)版操作系統(tǒng)中與IP語(yǔ)音通信無(wú)關(guān)的部分(非必要部分)，把500M源代碼削減至70M；縮減Linux分布式系統(tǒng)所需的TCP端口；采用可適應(yīng)的Linux應(yīng)用程序；加入掃描軟件；對(duì)OmniPCX

　　Enterprise通信服務(wù)器的訪問(wèn)采用可信的ssh、sftp、scp機(jī)制，用來(lái)替代telnet、ftp、rcp等。

　　Juniper推出的防火墻則利用對(duì)通訊協(xié)議的分析來(lái)識(shí)別應(yīng)用，把行為管理和安全問(wèn)題聯(lián)合進(jìn)行處理。

　　目前VoIP還有向統(tǒng)一通信發(fā)展的趨勢(shì)，多種通信方式的整合也在一定程度上增加了安全風(fēng)險(xiǎn)。廠商應(yīng)當(dāng)為未來(lái)可能發(fā)生的風(fēng)險(xiǎn)早做準(zhǔn)備，根據(jù)統(tǒng)一通訊整合式通信的特點(diǎn)，針對(duì)其不同的應(yīng)用，開(kāi)發(fā)出有針對(duì)性的安全防護(hù)機(jī)制。

平衡安全與性能

　　VoIP的安全問(wèn)題確實(shí)值得重視，但是由于VoIP是一種語(yǔ)音通信方式，對(duì)業(yè)務(wù)的實(shí)時(shí)性要求非常高，企業(yè)在加強(qiáng)VoIP系統(tǒng)安全時(shí)要注意平衡安全與性能之間的關(guān)系。

　　通常意義上，為了達(dá)到和PSTN相媲美的語(yǔ)音通話質(zhì)量，VoIP單向流量的時(shí)延不得超過(guò)150毫秒，否則用戶體驗(yàn)將會(huì)異常糟糕。一般來(lái)說(shuō)語(yǔ)音編碼可能占用30毫秒的時(shí)間，橫跨長(zhǎng)距離在公共IP網(wǎng)絡(luò)上傳送的語(yǔ)音呼叫可能占用長(zhǎng)達(dá)100毫秒、甚至125毫秒的時(shí)間。在這種情況下，如果防火墻、加密和入侵防御等安全措施帶來(lái)的時(shí)延過(guò)多的話，必然會(huì)大大影響客戶的使用體驗(yàn)。

　　已經(jīng)有很多企業(yè)對(duì)VoIP的通話質(zhì)量進(jìn)行了抱怨，認(rèn)為其和PSTN無(wú)法相比，而且還有回音出現(xiàn)，這大大影響企業(yè)部署VoIP系統(tǒng)的積極性。所以很難想象一個(gè)影響VoIP使用體驗(yàn)的安全系統(tǒng)能夠得到客戶的歡迎，這一問(wèn)題值得致力于VoIP安全的企業(yè)去高度重視，找到有效的解決手段。

　　除了要平衡安全與性能之間的關(guān)系之外，值得注意的是安全是一整套體系。網(wǎng)絡(luò)安全不是一個(gè)點(diǎn)的概念，而是一個(gè)面的概念，要采用一個(gè)整體的安全防范體系。VoIP系統(tǒng)的安全不能和其他網(wǎng)絡(luò)應(yīng)用互相割裂開(kāi)來(lái)，要對(duì)他們進(jìn)行綜合考慮，并且注意整體的投資收益問(wèn)題。

新聞中心

一體化手段破解VoIP安全難題

評(píng)論

相關(guān)推薦

技術(shù)專區(qū)