IP Phone系統的安全

2002/06/10

　　隨著(zhù)Internet的日益擴大，基于IP技術(shù)的各種應用迅速發(fā)展。IP Phone和VoIP是在Internet上實(shí)現實(shí)時(shí)語(yǔ)音傳輸服務(wù)及其他多媒體實(shí)時(shí)通信業(yè)務(wù)，這是近幾年興起的、極具挑戰性的實(shí)用技術(shù)。與傳統的PSTN相比，IP Phone采用了先進(jìn)的數字信號處理技術(shù)，將原先64kbit/s的話(huà)音信號壓縮成8kbit/s或更低碼率的數據流，能夠在同一條線(xiàn)路上傳輸比采用模擬技術(shù)時(shí)更多的呼叫，并且采用了分組交換技術(shù)，可以實(shí)現信道的統計復用，使得網(wǎng)絡(luò )資源的利用效率更高，更重要的是具有更低的使用成本。

　　但是由于IP Phone系統建立在一個(gè)開(kāi)放的IP標準上，并且連接在公用的Internet或Intranet之中，因此其安全問(wèn)題也成了不可忽視的方面。通信服務(wù)器和呼叫管理器作為IP Phone系統的核心，對內集結企業(yè)的IP電話(huà)和普通電話(huà)，向外提供到PSTN和因特網(wǎng)以及其他協(xié)議的接口，承擔著(zhù)電話(huà)呼叫控制、設備配置、數據配給、撥號方案管理、負載均衡、遠程監控等功能。該服務(wù)器直接與Internet相連，面對著(zhù)公用網(wǎng)中的各種危險和攻擊，它是否具有足夠完善的安全機制、是否能抵御DoS攻擊、是否有增強的口令和訪(fǎng)問(wèn)控制管理等等都關(guān)系著(zhù)整個(gè)IP Phone系統的安全性能。

　　IP Phone終端設備是IP Phone系統直接面向終端用戶(hù)的部分，它可以是如Netmeeting的軟件，也可以是專(zhuān)用的IP電話(huà)機硬件設備。已經(jīng)有證據表明，通過(guò)向IP Phone終端設備發(fā)送大量數據包能夠致使其無(wú)法工作，甚至重新啟動(dòng)，這包括了使用大多數DoS攻擊程序。而一些IP電話(huà)機內建了一個(gè)Web服務(wù)器來(lái)提供調試和狀態(tài)信息頁(yè)面的顯示，這雖然為使用和管理提供了方便，卻也給攻擊者提供了可乘之機：使用某些特定的無(wú)意義參數的HTTP請求也能使它重啟。在電話(huà)重啟過(guò)程中，原有的通話(huà)就會(huì )被中止，而且該電話(huà)在重啟和恢復正常狀態(tài)的這段時(shí)間中，電話(huà)是無(wú)法使用的，因此如果攻擊持續地進(jìn)行，將導致設備一直無(wú)法使用。

　　因此，針對IP Phone系統，要建立全面的安全體系。首先要使用防火墻，并在通信服務(wù)器和呼叫管理器上使用基于主機的入侵檢測系統和病毒檢驗程序，保護系統的安全；同時(shí)使用加密和VPN等技術(shù)，保證網(wǎng)間業(yè)務(wù)安全性和保密性；而對于終端設備，也應該使用桌面型防火墻，限制、過(guò)濾和阻止不可信源的通信流，以及禁止網(wǎng)絡(luò )中其他設備對其進(jìn)行Web訪(fǎng)問(wèn)。

　　上海廣電應確信有限公司（www.svanetworks.com）作為專(zhuān)業(yè)的網(wǎng)絡(luò )安全設備廠(chǎng)商，不僅提供了針對電信級和企業(yè)級的全套以太網(wǎng)安全解決方案，包括防火墻/VPN、入侵檢測系統、病毒防護系統、訪(fǎng)問(wèn)認證、集中安全管理系統，也提供了針對SOHO和個(gè)人用戶(hù)的小型網(wǎng)絡(luò )安全應用，為實(shí)現“everything over IP”掃清網(wǎng)絡(luò )安全的障礙。