首頁(yè)>>>技術(shù)>>>VoIP

多層防范VoIP“隔墻之耳”

張靜 2008/01/28

  即使在VoIP技術(shù)廣泛應用的今天,VoIP的安全性仍屢遭質(zhì)疑。英國安全專(zhuān)家、防火墻公司Borderware創(chuàng )辦人之一Peter Cox就在近日公開(kāi)宣稱(chēng),基于網(wǎng)絡(luò )的VoIP電話(huà)極不安全,容易給黑客造成可乘之機。為了證實(shí)這個(gè)觀(guān)點(diǎn),他研發(fā)了可以竊聽(tīng)VoIP網(wǎng)絡(luò )電話(huà)的“概念證實(shí)”(Proof—of—Concept)型軟件SIPtap。該軟件利用一個(gè)安裝在公司網(wǎng)絡(luò )上的特洛伊木馬軟件,成功對VoIP網(wǎng)絡(luò )進(jìn)行監聽(tīng),并可以生成后綴為“.wav”的文件供黑客隨后在互聯(lián)網(wǎng)上傳播使用。

  VoIP成為無(wú)論專(zhuān)家還是黑客攻擊的靶子并非偶然。作為一種在網(wǎng)絡(luò )上應用的IP技術(shù),與Web和電子郵件等IP應用一樣,VoIP技術(shù)存在特有的威脅和風(fēng)險。這些威脅和漏洞包括所有IP網(wǎng)絡(luò )層面的威脅、VoIP協(xié)議和應用的威脅以及與內容有關(guān)的威脅等。就如同裸露的皮膚最容易受傷,解決辦法就是給你的VoIP多穿幾層鎧甲——采取多層次安全機制,在潛在入侵者的攻擊路線(xiàn)上盡可能多地設置各種障礙。

  建立一個(gè)安全的VoIP網(wǎng)絡(luò ),首先要將其從數據網(wǎng)絡(luò )中獨立出來(lái)。要將虛擬局域網(wǎng)(VLAN)上的VoIP話(huà)機設為非路由的地址,然后禁止連接互聯(lián)網(wǎng)的電腦與VoIP之間有任何交流,還要使用存取控制列表(Access Control Lists)來(lái)阻止VLAN之間的通訊。

  而且,需要一個(gè)特別設計的防火墻,能識別和分析VoIP協(xié)議,對VoIP的數據包進(jìn)行深度檢查,并能分析VoIP的有效載荷,以便發(fā)現任何與攻擊有關(guān)的行為。

  還要在幾個(gè)層次上設置障礙,包括保護好VoIP網(wǎng)關(guān),鎖閉網(wǎng)絡(luò )物理層,用IPSec加密,用TLS鎖定會(huì )話(huà)層和用SRTP來(lái)對應用層的介質(zhì)進(jìn)行加密。

  網(wǎng)關(guān)是數據進(jìn)出VoIP網(wǎng)絡(luò )的關(guān)鍵點(diǎn),它會(huì )同時(shí)連接不同的網(wǎng)絡(luò ),如IP網(wǎng)絡(luò )和公共電話(huà)交換網(wǎng)(PSTN)。在網(wǎng)關(guān)上使用授權機制和存取控制,以便控制可通過(guò)VoIP系統撥打和接聽(tīng)的電話(huà),以及設定可以執行管理任務(wù)的不同人員權限等。

  對一個(gè)語(yǔ)音網(wǎng)絡(luò )而言,限制對介質(zhì)訪(fǎng)問(wèn)以及對VoIP服務(wù)器和端點(diǎn)訪(fǎng)問(wèn)非常重要。 要達到限制對介質(zhì)訪(fǎng)問(wèn)或對VoIP服務(wù)器和端點(diǎn)訪(fǎng)問(wèn)的目的,首先對所有呼叫服務(wù)器以及與服務(wù)器有關(guān)的接觸進(jìn)行控制;然后限制對終端的接觸,并將線(xiàn)纜埋設在墻體中的管道里以保證它們自身的安全;最后還要謹慎選擇無(wú)線(xiàn)AP的位置,限制無(wú)線(xiàn)交流,限制信號強度,使用屏蔽材料將無(wú)線(xiàn)信號盡量阻擋在建筑物之內。

  用IPSec加密來(lái)保護網(wǎng)絡(luò )中的VoIP數據,能保證即使攻擊者穿越物理層防護措施截獲了VoIP數據包,也無(wú)法破譯其中的內容。

  TLS使用的是數字簽名和公共密鑰加密,這意味著(zhù)每一個(gè)端點(diǎn)都必須有一個(gè)可信任的、由權威CA認證的簽名。也可以通過(guò)一個(gè)內部CA(如一臺運行了認證服務(wù)的Windows服務(wù)器)來(lái)進(jìn)行企業(yè)內部的通話(huà),并經(jīng)由一個(gè)公共CA來(lái)進(jìn)行公司之外的通話(huà)。

  用SRTP來(lái)對應用層的介質(zhì)進(jìn)行加密,可以提供信息認證、機密性、回放保護等安全機制。

  VoIP安全保護偏方

  無(wú)論VoIP網(wǎng)絡(luò )防范多么嚴密,攻擊不可避免會(huì )發(fā)生。因此,有必要通過(guò)部署合適的監視工具和入侵檢測系統,發(fā)現試圖攻入VoIP網(wǎng)絡(luò )的各種嘗試。通過(guò)仔細觀(guān)察這些工具所記錄下來(lái)的日志,有助于及時(shí)發(fā)現各種數據流量的異常狀況,從而發(fā)現是否有人通過(guò)暴力破解賬號的方式進(jìn)入網(wǎng)絡(luò )。

  與此同時(shí),及時(shí)維護操作系統和VoIP應用系統的補丁,對于防范來(lái)自惡意軟件或病毒的威脅是非常重要的。

  還有一個(gè)點(diǎn)子可能會(huì )有幫助,那就是制定一個(gè)計劃,把你自己假想成一個(gè)黑客高手,然后嘗試用各種辦法來(lái)攻擊你的VoIP系統。沒(méi)有找到攻擊入口,并不代表你的VoIP系統是安全的。但是如果你能找到入口,那么別人也可以,那就趕快堵住這個(gè)漏洞吧!

中計報(www.ccidnet.com)


相關(guān)鏈接:
2008年提防VoIP漏洞 2008-01-28
統一通信的生態(tài)系統——訪(fǎng)AVAYA公司中國區總裁 2008-01-25
IP通信本土化競爭成熱點(diǎn) 2008-01-24
關(guān)于NGN若干問(wèn)題的思考-從VoIP到NGN 2008-01-22
CIO關(guān)注:統一通信能否沖破安全魔咒 2008-01-22

分類(lèi)信息:        
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 常德市| 惠东县| 清原| 甘谷县| 色达县| 平山县| 泾川县| 广元市| 涿州市| 安乡县| 蒲江县| 大足县| 甘洛县| 芦溪县| 治多县| 天等县| 宜阳县| 龙江县| 积石山| 绥江县| 定南县| 永和县| 商洛市| 长丰县| 旬阳县| 彩票| 揭阳市| 葫芦岛市| 雷山县| 会宁县| 嵊州市| 富顺县| 合江县| 宁明县| 三原县| 靖远县| 福贡县| 格尔木市| 昭觉县| 汕尾市| 西峡县| http://444 http://444 http://444 http://444 http://444 http://444