首頁>>>技術(shù)>>>VoIP

用25種方法來打造VoIP的網(wǎng)絡(luò)安全(一)

趙長(zhǎng)林 2007/04/09

  VoIP指的是在使用了互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡(luò)上進(jìn)行語音傳輸,其中的IP是代表互聯(lián)網(wǎng)協(xié)議,它是互聯(lián)網(wǎng)的中樞,互聯(lián)網(wǎng)協(xié)議可以將電子郵件、即時(shí)信息以及網(wǎng)頁傳輸?shù)匠汕先f的PC或者手機(jī)上。有人說它是電信殺手,也有人說它是國際事務(wù)中的革命性因素。總之吹捧甚多。但是,也許在你使用這項(xiàng)服務(wù)的時(shí)候,也許正有一位黑客竊取你的個(gè)人信息甚至搞毀你的網(wǎng)絡(luò)。

  所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會(huì)影響到VoIP網(wǎng)絡(luò),如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽、數(shù)據(jù)嗅探等。唯一的不同是,我們更樂于采取一些措施來保護(hù)其它的網(wǎng)絡(luò)。對(duì)于VoIP,卻鮮有什么具體措施。事實(shí)上,只有我們采取一些保護(hù)措施,這項(xiàng)技術(shù)才可能取得真正的成功。

下面探討25種可以保護(hù)VoIP的方法:

1、限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋(gè)VLAN上

  Cisco建議對(duì)語音和數(shù)據(jù)分別劃分VLAN,這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù)。劃分VLAN也有助于防御費(fèi)用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計(jì)算機(jī)形成了一個(gè)有效的封閉的圈子,它不允許任何其它計(jì)算機(jī)訪問其設(shè)備,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊,也會(huì)將損失降到最低。

2、監(jiān)控并跟蹤VoIP網(wǎng)絡(luò)的通信模式

  監(jiān)控工具和入侵探測(cè)系統(tǒng)能幫助用戶識(shí)別那些侵入VoIP網(wǎng)絡(luò)的企圖。詳細(xì)觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西,如莫名其妙的國際電話或是本公司或組織基本不聯(lián)系的國際電話,多重登錄試圖破解密碼,語音暴增等。

3、保護(hù)VoIP服務(wù)器

  必須采取效措施來保障服務(wù)器的安全以抵御來自內(nèi)部或外部的入侵者用嗅探技術(shù)來截獲數(shù)據(jù)。因?yàn)閂oIP電話機(jī)擁有固定的IP地址和MAC地址,所以攻擊者易于據(jù)此潛入。建議用戶限制IP和MAC地址,不允許隨便訪問VoIP系統(tǒng)的超級(jí)用戶界面,并在SIP網(wǎng)關(guān)之前建立另一道防火墻,這樣就會(huì)在一定程度上限制對(duì)于網(wǎng)絡(luò)系統(tǒng)的侵入。

4、使用多重加密

  僅僅對(duì)發(fā)送的數(shù)據(jù)包加密是遠(yuǎn)遠(yuǎn)不夠的,必須對(duì)所有的電話信號(hào)進(jìn)行加密。對(duì)話音加密會(huì)防止攔截者的語音插入到用戶會(huì)話中。在這方面,SRTP協(xié)議能夠?qū)Χ它c(diǎn)通信加密,TLS能夠?qū)φ麄(gè)通信過程加密。應(yīng)該通過在網(wǎng)關(guān)、網(wǎng)絡(luò)、主機(jī)層面上提供強(qiáng)大的保護(hù)來支持語音傳輸加密。

5、建立VoIP網(wǎng)絡(luò)的冗余機(jī)制

  要時(shí)刻準(zhǔn)備著可能會(huì)遭到病毒、DoS攻擊,它們可能會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。構(gòu)建能夠設(shè)置多層節(jié)點(diǎn)、網(wǎng)關(guān)、服務(wù)器、電源及呼叫路由器的網(wǎng)絡(luò)系統(tǒng),并與不只一個(gè)供應(yīng)商互聯(lián)。經(jīng)常性的對(duì)各個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行考驗(yàn),確保其工作良好,當(dāng)主服務(wù)網(wǎng)絡(luò)癱瘓時(shí),備用設(shè)施可以迅速接管工作。

6、將設(shè)備置于防火墻之后

  建立分離的防火墻,這樣通過VLAN邊界的通信僅限于可用的協(xié)議。萬一客戶端受到感染的話,這會(huì)防止病毒、木馬擴(kuò)散到服務(wù)器。建立分離的防火墻后,系統(tǒng)安全策略的維護(hù)也會(huì)變得簡(jiǎn)單。當(dāng)需要時(shí),必須正確配置防火墻以便開放或關(guān)閉某些端口。

敬請(qǐng)期待后續(xù)文章:“VoIP網(wǎng)絡(luò)的安全性,既依賴于底層的操作系統(tǒng)……”

參考文章:《VoIP Security Challenges: 25 Ways to Secure your VoIP Network》

賽迪網(wǎng) 中國信息化(industry.ccidnet.com)



相關(guān)鏈接:
開源軟件性價(jià)比高 Linux渠道前景明朗 2007-04-05
從三個(gè)角度來完善企業(yè)視頻會(huì)議系統(tǒng)安全機(jī)制 2007-04-05
VoIP使用以太網(wǎng)供電的隱性成本 2007-04-02
托管VoIP服務(wù)滿足中小企業(yè)需求 2007-04-02
融合通信流行 三類廠商發(fā)力VoIP統(tǒng)一通信 2007-03-28

分類信息: