首頁 >> 新聞

VoIP的安全漏洞和防護(下)

北電網(wǎng)絡李吳建 2004/07/01

  解決VoIP安全漏洞的主要方法有以下幾種:

  1.將用于話音和數(shù)據(jù)傳輸?shù)木W(wǎng)絡進行隔離

  這里所說的隔離并不是指物理上的隔離,而是建議將所有的IP話機放到一個獨立的VLAN當中,同時限制無關的PC終端進入該網(wǎng)段。通過很多評測者的反饋信息表明,劃分VLAN是目前保護IP話音系統(tǒng)最為簡單有效的方法,可以隔離病毒和簡單的攻擊。同時,配合數(shù)據(jù)網(wǎng)絡的QoS設定,還將有助于提高話音質(zhì)量。

  2.將VoIP作為一種應用程序來看待

  這也意味著我們需要采用一些適用于保護重要的應用服務器之類的手段,來保護VoIP設備中一些重要的端口和應用,例如采用北電網(wǎng)絡Aleton交換防火墻就可以有效地抵御DoS的攻擊。同樣的辦法也適用于VoIP系統(tǒng),當兩個IP終端進行通話時,一旦信令通過中心點的信令服務進程建立之后,媒體流只存在于兩個終端之間;只有當IP終端上發(fā)起的呼叫需要透過網(wǎng)關進入PSTN公網(wǎng)時,才會占用媒體網(wǎng)關內(nèi)的DSP處理器資源。所以,我們需要對信令和媒體流兩類對外的地址和端口進行保護。同時,盡可能少保留所需要的端口,例如基于Web方式的管理地址,并且盡可能關閉不需要的服務進程。需要提醒的是,H.323/SIP在穿越NAT和防火墻的時候會遇到障礙,這是由于協(xié)議本身的原因造成的,但通過啟用“應用層網(wǎng)關”之后,就可以解決這個問題;隨著呼叫量的增長,可以采用外置媒體流代理服務器的辦法來支持更大規(guī)模的VoIP系統(tǒng)。

  3.選擇合適的產(chǎn)品和解決方案目前不同廠家的產(chǎn)品體系構架不盡相同,操作平臺也各有偏愛。我們無法斷言哪種操作系統(tǒng)最為安全可靠,但廠家須有相應的技術保障來讓用戶相信各自的產(chǎn)品有能力抵御日益繁多的病毒侵襲。同時,很多廠家的產(chǎn)品也采用了管理網(wǎng)段和用戶的IP話音網(wǎng)段在物理上隔離的機制,盡可能少地將端口暴露在外網(wǎng)上。北電網(wǎng)絡推出的Succession1000/1000M就采用了這些設計思路,將管理網(wǎng)段和用戶網(wǎng)段徹底在物理上隔離,并采用VxWorks操作系統(tǒng),盡可能多地屏蔽外界對系統(tǒng)的影響。

  4.話音數(shù)據(jù)流的加密目前H.323協(xié)議簇中有一成員H.235(又稱為H.Secure)是負責身份驗證、數(shù)據(jù)完整性和媒體流加密的。更實際的情況是廠家會選用各自私有的協(xié)議來保證VoIP的安全性。即使你獲得了軟件并且成功連接到公司的IP話音網(wǎng)段,仍然有可能一無所獲。因為目前很多企業(yè)內(nèi)部的數(shù)據(jù)網(wǎng)絡都采用以太網(wǎng)交換機的10/100M端口到桌面而不是HUB,因而無法通過Sniffer的方式竊取信息。

  但是,假設某人通過非法手段獲得了網(wǎng)絡的超級管理員權限,然后將IP話音網(wǎng)絡的端口都鏡像到自己裝有Sniffer程序的PC網(wǎng)口上呢?這時就不僅僅是一個VoIP的安全問題了。但在利用VoIP方式作兩點之間的中繼互聯(lián)時,仍然可以使用VPN技術保證信息的高保密性。北電網(wǎng)絡已經(jīng)幫助眾多用戶,在各類接入方式上實施了基于VPN的IP中繼互聯(lián)。

  5.合理制定員工撥號權限很多廠家已經(jīng)將傳統(tǒng)交換機的豐富功能移植到了VoIP系統(tǒng),這些功能將有效地抑制竊取登錄密碼進行盜打的現(xiàn)象。給IP電話設定能否撥打長途或特定號碼的權限,或者是通過授權碼的方式要求撥打長途號碼前必須輸入正確的若干位密碼等方式,可以簡單解決上述問題。

  IP網(wǎng)絡所存在的安全問題一直以來受到大家的關注。而作為數(shù)據(jù)網(wǎng)絡上的一種新興的應用,VoIP所面臨的一些安全隱患,實際是IP網(wǎng)絡上存在的若干問題的延續(xù)。只有很好地解決了網(wǎng)絡的安全問題,同時配合產(chǎn)品本身的一些安全認證機制,基于VoIP的應用才能夠在企業(yè)中持久穩(wěn)定地發(fā)揮作用,并成為解決企業(yè)話音通信需求的有效方法。

中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
分類信息:     文摘