VoIP的安全漏洞和防護(下)
北電網(wǎng)絡(luò )李吳建
2004/07/01
解決VoIP安全漏洞的主要方法有以下幾種:
1.將用于話(huà)音和數據傳輸的網(wǎng)絡(luò )進(jìn)行隔離
這里所說(shuō)的隔離并不是指物理上的隔離,而是建議將所有的IP話(huà)機放到一個(gè)獨立的VLAN當中,同時(shí)限制無(wú)關(guān)的PC終端進(jìn)入該網(wǎng)段。通過(guò)很多評測者的反饋信息表明,劃分VLAN是目前保護IP話(huà)音系統最為簡(jiǎn)單有效的方法,可以隔離病毒和簡(jiǎn)單的攻擊。同時(shí),配合數據網(wǎng)絡(luò )的QoS設定,還將有助于提高話(huà)音質(zhì)量。
2.將VoIP作為一種應用程序來(lái)看待
這也意味著(zhù)我們需要采用一些適用于保護重要的應用服務(wù)器之類(lèi)的手段,來(lái)保護VoIP設備中一些重要的端口和應用,例如采用北電網(wǎng)絡(luò )Aleton交換防火墻就可以有效地抵御DoS的攻擊。同樣的辦法也適用于VoIP系統,當兩個(gè)IP終端進(jìn)行通話(huà)時(shí),一旦信令通過(guò)中心點(diǎn)的信令服務(wù)進(jìn)程建立之后,媒體流只存在于兩個(gè)終端之間;只有當IP終端上發(fā)起的呼叫需要透過(guò)網(wǎng)關(guān)進(jìn)入PSTN公網(wǎng)時(shí),才會(huì )占用媒體網(wǎng)關(guān)內的DSP處理器資源。所以,我們需要對信令和媒體流兩類(lèi)對外的地址和端口進(jìn)行保護。同時(shí),盡可能少保留所需要的端口,例如基于Web方式的管理地址,并且盡可能關(guān)閉不需要的服務(wù)進(jìn)程。需要提醒的是,H.323/SIP在穿越NAT和防火墻的時(shí)候會(huì )遇到障礙,這是由于協(xié)議本身的原因造成的,但通過(guò)啟用“應用層網(wǎng)關(guān)”之后,就可以解決這個(gè)問(wèn)題;隨著(zhù)呼叫量的增長(cháng),可以采用外置媒體流代理服務(wù)器的辦法來(lái)支持更大規模的VoIP系統。
3.選擇合適的產(chǎn)品和解決方案目前不同廠(chǎng)家的產(chǎn)品體系構架不盡相同,操作平臺也各有偏愛(ài)。我們無(wú)法斷言哪種操作系統最為安全可靠,但廠(chǎng)家須有相應的技術(shù)保障來(lái)讓用戶(hù)相信各自的產(chǎn)品有能力抵御日益繁多的病毒侵襲。同時(shí),很多廠(chǎng)家的產(chǎn)品也采用了管理網(wǎng)段和用戶(hù)的IP話(huà)音網(wǎng)段在物理上隔離的機制,盡可能少地將端口暴露在外網(wǎng)上。北電網(wǎng)絡(luò )推出的Succession1000/1000M就采用了這些設計思路,將管理網(wǎng)段和用戶(hù)網(wǎng)段徹底在物理上隔離,并采用VxWorks操作系統,盡可能多地屏蔽外界對系統的影響。
4.話(huà)音數據流的加密目前H.323協(xié)議簇中有一成員H.235(又稱(chēng)為H.Secure)是負責身份驗證、數據完整性和媒體流加密的。更實(shí)際的情況是廠(chǎng)家會(huì )選用各自私有的協(xié)議來(lái)保證VoIP的安全性。即使你獲得了軟件并且成功連接到公司的IP話(huà)音網(wǎng)段,仍然有可能一無(wú)所獲。因為目前很多企業(yè)內部的數據網(wǎng)絡(luò )都采用以太網(wǎng)交換機的10/100M端口到桌面而不是HUB,因而無(wú)法通過(guò)Sniffer的方式竊取信息。
但是,假設某人通過(guò)非法手段獲得了網(wǎng)絡(luò )的超級管理員權限,然后將IP話(huà)音網(wǎng)絡(luò )的端口都鏡像到自己裝有Sniffer程序的PC網(wǎng)口上呢?這時(shí)就不僅僅是一個(gè)VoIP的安全問(wèn)題了。但在利用VoIP方式作兩點(diǎn)之間的中繼互聯(lián)時(shí),仍然可以使用VPN技術(shù)保證信息的高保密性。北電網(wǎng)絡(luò )已經(jīng)幫助眾多用戶(hù),在各類(lèi)接入方式上實(shí)施了基于VPN的IP中繼互聯(lián)。
5.合理制定員工撥號權限很多廠(chǎng)家已經(jīng)將傳統交換機的豐富功能移植到了VoIP系統,這些功能將有效地抑制竊取登錄密碼進(jìn)行盜打的現象。給IP電話(huà)設定能否撥打長(cháng)途或特定號碼的權限,或者是通過(guò)授權碼的方式要求撥打長(cháng)途號碼前必須輸入正確的若干位密碼等方式,可以簡(jiǎn)單解決上述問(wèn)題。
IP網(wǎng)絡(luò )所存在的安全問(wèn)題一直以來(lái)受到大家的關(guān)注。而作為數據網(wǎng)絡(luò )上的一種新興的應用,VoIP所面臨的一些安全隱患,實(shí)際是IP網(wǎng)絡(luò )上存在的若干問(wèn)題的延續。只有很好地解決了網(wǎng)絡(luò )的安全問(wèn)題,同時(shí)配合產(chǎn)品本身的一些安全認證機制,基于VoIP的應用才能夠在企業(yè)中持久穩定地發(fā)揮作用,并成為解決企業(yè)話(huà)音通信需求的有效方法。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
浮梁县|
宜章县|
巴东县|
开江县|
万荣县|
泰和县|
平陆县|
丹阳市|
万源市|
收藏|
正阳县|
包头市|
武定县|
松桃|
苏州市|
荔浦县|
岳阳市|
静海县|
西青区|
凯里市|
新龙县|
宜宾市|
甘洛县|
巫山县|
仙桃市|
周口市|
宣城市|
建昌县|
杂多县|
云浮市|
望奎县|
若尔盖县|
寿宁县|
马公市|
应城市|
汉中市|
龙井市|
萨迦县|
太原市|
浮梁县|
上虞市|
http://444
http://444
http://444
http://444
http://444
http://444