IP Phone系統(tǒng)的安全

2002/06/10

　　隨著Internet的日益擴(kuò)大，基于IP技術(shù)的各種應(yīng)用迅速發(fā)展。IP Phone和VoIP是在Internet上實(shí)現(xiàn)實(shí)時(shí)語(yǔ)音傳輸服務(wù)及其他多媒體實(shí)時(shí)通信業(yè)務(wù)，這是近幾年興起的、極具挑戰(zhàn)性的實(shí)用技術(shù)。與傳統(tǒng)的PSTN相比，IP Phone采用了先進(jìn)的數(shù)字信號(hào)處理技術(shù)，將原先64kbit/s的話音信號(hào)壓縮成8kbit/s或更低碼率的數(shù)據(jù)流，能夠在同一條線路上傳輸比采用模擬技術(shù)時(shí)更多的呼叫，并且采用了分組交換技術(shù)，可以實(shí)現(xiàn)信道的統(tǒng)計(jì)復(fù)用，使得網(wǎng)絡(luò)資源的利用效率更高，更重要的是具有更低的使用成本。

　　但是由于IP Phone系統(tǒng)建立在一個(gè)開(kāi)放的IP標(biāo)準(zhǔn)上，并且連接在公用的Internet或Intranet之中，因此其安全問(wèn)題也成了不可忽視的方面。通信服務(wù)器和呼叫管理器作為IP Phone系統(tǒng)的核心，對(duì)內(nèi)集結(jié)企業(yè)的IP電話和普通電話，向外提供到PSTN和因特網(wǎng)以及其他協(xié)議的接口，承擔(dān)著電話呼叫控制、設(shè)備配置、數(shù)據(jù)配給、撥號(hào)方案管理、負(fù)載均衡、遠(yuǎn)程監(jiān)控等功能。該服務(wù)器直接與Internet相連，面對(duì)著公用網(wǎng)中的各種危險(xiǎn)和攻擊，它是否具有足夠完善的安全機(jī)制、是否能抵御DoS攻擊、是否有增強(qiáng)的口令和訪問(wèn)控制管理等等都關(guān)系著整個(gè)IP Phone系統(tǒng)的安全性能。

　　IP Phone終端設(shè)備是IP Phone系統(tǒng)直接面向終端用戶的部分，它可以是如Netmeeting的軟件，也可以是專用的IP電話機(jī)硬件設(shè)備。已經(jīng)有證據(jù)表明，通過(guò)向IP Phone終端設(shè)備發(fā)送大量數(shù)據(jù)包能夠致使其無(wú)法工作，甚至重新啟動(dòng)，這包括了使用大多數(shù)DoS攻擊程序。而一些IP電話機(jī)內(nèi)建了一個(gè)Web服務(wù)器來(lái)提供調(diào)試和狀態(tài)信息頁(yè)面的顯示，這雖然為使用和管理提供了方便，卻也給攻擊者提供了可乘之機(jī)：使用某些特定的無(wú)意義參數(shù)的HTTP請(qǐng)求也能使它重啟。在電話重啟過(guò)程中，原有的通話就會(huì)被中止，而且該電話在重啟和恢復(fù)正常狀態(tài)的這段時(shí)間中，電話是無(wú)法使用的，因此如果攻擊持續(xù)地進(jìn)行，將導(dǎo)致設(shè)備一直無(wú)法使用。

　　因此，針對(duì)IP Phone系統(tǒng)，要建立全面的安全體系。首先要使用防火墻，并在通信服務(wù)器和呼叫管理器上使用基于主機(jī)的入侵檢測(cè)系統(tǒng)和病毒檢驗(yàn)程序，保護(hù)系統(tǒng)的安全；同時(shí)使用加密和VPN等技術(shù)，保證網(wǎng)間業(yè)務(wù)安全性和保密性；而對(duì)于終端設(shè)備，也應(yīng)該使用桌面型防火墻，限制、過(guò)濾和阻止不可信源的通信流，以及禁止網(wǎng)絡(luò)中其他設(shè)備對(duì)其進(jìn)行Web訪問(wèn)。

　　上海廣電應(yīng)確信有限公司（www.svanetworks.com）作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備廠商，不僅提供了針對(duì)電信級(jí)和企業(yè)級(jí)的全套以太網(wǎng)安全解決方案，包括防火墻/VPN、入侵檢測(cè)系統(tǒng)、病毒防護(hù)系統(tǒng)、訪問(wèn)認(rèn)證、集中安全管理系統(tǒng)，也提供了針對(duì)SOHO和個(gè)人用戶的小型網(wǎng)絡(luò)安全應(yīng)用，為實(shí)現(xiàn)“everything over IP”掃清網(wǎng)絡(luò)安全的障礙。