基于IP網(wǎng)絡(luò )及其協(xié)議的公共性質(zhì),使得VoIP天生就具備相對于傳統電話(huà)網(wǎng)而言更易受到攻擊的特質(zhì)。不過(guò),通過(guò)采取一個(gè)仔細規劃的、多層次的VoIP網(wǎng)絡(luò )防護措施,企業(yè)就可以讓VoIP網(wǎng)絡(luò )的安全程度趕上甚至是超過(guò)傳統的電話(huà)系統。
網(wǎng)絡(luò )層加密
你可以使用IPSec加密來(lái)保護網(wǎng)絡(luò )中的VoIP數據;如果攻擊者穿越了你的物理層防護措施,并截獲了VoIP數據包,他們也無(wú)法破譯其中的內容。IPSec使用認證頭以及壓縮安全有效載荷來(lái)為IP傳輸提供認證性、完整性以及機密性。
VoIP上的IPSec使用隧道模式,對兩頭終端的身份進(jìn)行保護。IPSec可以讓VoIP通訊比使用傳統的電話(huà)線(xiàn)更安全。
會(huì )話(huà)層鎖定
你還可以使用TLS來(lái)保護VoIP會(huì )話(huà),TLS使用的是數字簽名和公共密鑰加密,這意味著(zhù)每一個(gè)端點(diǎn)都必須有一個(gè)可信任的、由權威CA認證的簽名。或者你也可以通過(guò)一個(gè)內部CA(比如一臺運行了認證服務(wù)的Windows服務(wù)器)來(lái)進(jìn)行企業(yè)內部的通話(huà),并經(jīng)由一個(gè)公共CA來(lái)進(jìn)行公司之外的通話(huà)。
保護應用層
你可以使用“安全RTP(SRTP)”來(lái)對應用層的介質(zhì)進(jìn)行加密。RFC3711定義了SRTP,讓它可以提供信息認證、機密性、回放保護、阻止對RTP數據流的拒絕服務(wù)式攻擊等安全機制。通過(guò)SRTP,你可以對無(wú)線(xiàn)網(wǎng)和有線(xiàn)網(wǎng)上的VoIP通訊進(jìn)行有效的保護。
建立VoIP網(wǎng)絡(luò )的冗余機制
要時(shí)刻準備著(zhù)可能會(huì )遭到病毒、DoS攻擊,它們可能會(huì )導致網(wǎng)絡(luò )系統癱瘓。構建能夠設置多層節點(diǎn)、網(wǎng)關(guān)、服務(wù)器、電源及呼叫路由器的網(wǎng)絡(luò )系統,并與不只一個(gè)供應商互聯(lián)。經(jīng)常性的對各個(gè)網(wǎng)絡(luò )系統進(jìn)行考驗,確保其工作良好,當主服務(wù)網(wǎng)絡(luò )癱瘓時(shí),備用設施可以迅速接管工作。
配備專(zhuān)用防火墻
對一個(gè)IP網(wǎng)絡(luò )來(lái)說(shuō),邊界保護通常意味著(zhù)使用防火墻,不過(guò)一個(gè)老舊的防火墻是不適合VoIP網(wǎng)絡(luò )的。你需要一個(gè)特別設計的防火墻,他得能識別和分析VoIP協(xié)議,能對VoIP的數據包進(jìn)行深度檢查,并能分析VoIP的有效載荷以便發(fā)現所有和攻擊有關(guān)的蛛絲馬跡。
如果你的VoIP部署使用了SIP協(xié)議(SessionInitiationProtocol),那么防火墻就應當能執行下述操作:監視進(jìn)出的SIP信息,以便發(fā)現應用程式層次上的攻擊;支持TLS(傳輸層安全);執行基于SIP的NAT及介質(zhì)端口管理;檢測非正常的呼叫模式;記錄SIP信息的詳情,特別是未經(jīng)授權的呼叫。
內外網(wǎng)隔離
將電話(huà)管理系統與網(wǎng)絡(luò )系統置于國際互聯(lián)網(wǎng)絡(luò )直接訪(fǎng)問(wèn)之外是一個(gè)不錯的選擇,將語(yǔ)音服務(wù)與其它服務(wù)器置于相分離的域中,并限制對其訪(fǎng)問(wèn)。
盡量減少軟終端
VoIP軟終端電話(huà)易于遭受電腦黑客攻擊,即使它位于公司防火墻之后,因為這種東西是與普通的PC、VoIP軟件及一對耳機一起使用的。而且,軟終端電話(huà)并沒(méi)有將語(yǔ)音和數據分開(kāi),因此,易于受到病毒和蠕蟲(chóng)的攻擊。
限制所有的voip數據只能傳輸到一個(gè)VLAN上
Cisco建議對語(yǔ)音和數據分別劃分VLAN,這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數據。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽(tīng)、劫持通信等。VLAN的劃分使用戶(hù)的計算機形成了一個(gè)有效的封閉的圈子,它不允許任何其它計算機訪(fǎng)問(wèn)其設備,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò )也就相當安全;即使受到攻擊,也會(huì )將損失降到最低。
監控并跟蹤網(wǎng)絡(luò )的通信模式
監控工具和入侵探測系統能幫助用戶(hù)識別那些侵入VoIP網(wǎng)絡(luò )的企圖。詳細觀(guān)察VoIP日志可以幫助發(fā)現一些不規則的東西,如莫名其妙的國際電話(huà)或是本公司或組織基本不聯(lián)系的國際電話(huà),多重登錄試圖破解密碼,語(yǔ)音暴增等。
定期進(jìn)行安全
要確信只有經(jīng)過(guò)鑒別的設備和用戶(hù),才可以訪(fǎng)問(wèn)那些經(jīng)過(guò)限制的以太網(wǎng)端口。管理員常常被欺騙,接授那些沒(méi)有經(jīng)過(guò)允許的軟終端電話(huà)的請求,因為黑客們能夠通過(guò)插入RJ44端口輕易地模仿IP地址和MAC地址。
