【原创版权所有,赛迪首发,如欲转载,请注明出处“赛迪网”和文章作者“赵长林”!违者,赛迪网将保留追究其法律责任的权利!】
VoIP指的是在使用了互联网协议的网络上进行语音传输,其中的IP是代表互联网协议,它是互联网的中枢,互联网协议可以将电子邮件、即时信息以及网页传输到成千上万的PC或者手机上。有人说它是电信杀手,也有人说它是国际事务中的革命性因素。总之吹捧甚多。但是,也许在你使用这项服务的时候,也许正有一位黑客窃取你的个人信息甚至搞毁你的网络。
所有影响数据网络的攻击都可能会影响到VoIP网络,如病毒、垃圾邮件、非法侵入、DoS、劫持电话、偷听、数据嗅探等。唯一的不同是,我们更乐于采取一些措施来保护其它的网络。对于VoIP,却鲜有什么具体措施。事实上,只有我们采取一些保护措施,这项技术才可能取得真正的成功。
下面探讨25种可以保护VoIP的方法:
1、限制所有的VoIP数据只能传输到一个VLAN上
Cisco建议对语音和数据分别划分VLAN,这样有助于按照优先次序来处理语音和数据。划分VLAN也有助于防御费用欺诈、DoS攻击、窃听、劫持通信等。VLAN的划分使用户的计算机形成了一个有效的封闭的圈子,它不允许任何其它计算机访问其设备,从而也就避免了电脑的攻击,VoIP网络也就相当安全;即使受到攻击,也会将损失降到最低。
2、监控并跟踪VoIP网络的通信模式
监控工具和入侵探测系统能帮助用户识别那些侵入VoIP网络的企图。详细观察VoIP日志可以帮助发现一些不规则的东西,如莫名其妙的国际电话或是本公司或组织基本不联系的国际电话,多重登录试图破解密码,语音暴增等。
3、保护VoIP服务器
必须采取效措施来保障服务器的安全以抵御来自内部或外部的入侵者用嗅探技术来截获数据。因为VoIP电话机拥有固定的IP地址和MAC地址,所以攻击者易于据此潜入。建议用户限制IP和MAC地址,不允许随便访问VoIP系统的超级用户界面,并在SIP网关之前建立另一道防火墙,这样就会在一定程度上限制对于网络系统的侵入。
4、使用多重加密
仅仅对发送的数据包加密是远远不够的,必须对所有的电话信号进行加密。对话音加密会防止拦截者的语音插入到用户会话中。在这方面,SRTP协议能够对端点通信加密,TLS能够对整个通信过程加密。应该通过在网关、网络、主机层面上提供强大的保护来支持语音传输加密。
5、建立VoIP网络的冗余机制
要时刻准备着可能会遭到病毒、DoS攻击,它们可能会导致网络系统瘫痪。构建能够设置多层节点、网关、服务器、电源及呼叫路由器的网络系统,并与不只一个供应商互联。经常性的对各个网络系统进行考验,确保其工作良好,当主服务网络瘫痪时,备用设施可以迅速接管工作。
6、将设备置于防火墙之后
建立分离的防火墙,这样通过VLAN边界的通信仅限于可用的协议。万一客户端受到感染的话,这会防止病毒、木马扩散到服务器。建立分离的防火墙后,系统安全策略的维护也会变得简单。当需要时,必须正确配置防火墙以便开放或关闭某些端口。
【敬请期待后续文章:“VoIP网络的安全性,既依赖于底层的操作系统……”】
(T003)
参考文章:《VoIP Security Challenges: 25 Ways to Secure your VoIP Network》
