首頁(yè)>>>技術(shù)>>>VoIP

淺談企業(yè)該如何保護VOIP安全?

鄒錚 2008/10/15

  隨著(zhù)信息建設的快速發(fā)展,VIOP解決方案得到更多的應用,本文將討論如何在遵守安全框架的同時(shí)部署VOIP解決方案以及部署VOIP時(shí)我們將面臨的挑戰。

  信息化進(jìn)程的加快,使VOIP解決方案得到更多應用,IT管理者不得不需要更多地將注意力放在VOIP上。這個(gè)將綜合語(yǔ)音整合到IT/IS系統的創(chuàng )舉存在很大的安全問(wèn)題,我們需要正確理解這一過(guò)程,才能部署合理的應對措施。本文將討論如何在遵守安全框架的同時(shí)部署VOIP解決方案以及部署VOIP時(shí)我們將面臨的挑戰。

  現今的VOIP狀況

  隨著(zhù)技術(shù)的不斷發(fā)展,解決方案的價(jià)格開(kāi)始下降,而且解決方案所提供的功能也越來(lái)越豐富,越來(lái)越多的人和公司開(kāi)始部署這些價(jià)格更便宜并且更易于使用的解決方案。但是美中不足的是,安全方面還需要花費一定時(shí)間才能跟上解決方案發(fā)展的步伐,安全部分總是事后才被附加在解決方案上的。這對于那些合并了VOIP功能的解決方案確實(shí)是事實(shí)。出于這個(gè)原因我們應該考慮部署一個(gè)安全框架來(lái)保證解決方案的實(shí)施。當今的各種設備已經(jīng)足夠強大能夠處理當前和將來(lái)的加密密碼,這就是加密技術(shù)成為可行。

  身份驗證問(wèn)題

  在用戶(hù)可以使用VOIP服務(wù)之前,他們將需要進(jìn)行身份驗證,以確認他們的身份能夠使用該服務(wù)。這個(gè)過(guò)程似乎很簡(jiǎn)單,但是也需要理解一些問(wèn)題,并且還需要克服一些困難。身份認證機制應該是結構化的,首先設備能夠得到確認和驗證,其次是用戶(hù)。只要設備得到確認和驗證,那么該設備就可以邏輯化地轉移到VLAN上,在這個(gè)時(shí)候交換機上的安全政策就可以執行加密,這就是說(shuō)用戶(hù)提供的任何身份驗證憑證都是在加密狀況下進(jìn)行的,從而保障安全狀態(tài)。

  當涉及到身份驗證問(wèn)題時(shí),身份管理是與驗證齊頭并進(jìn)的問(wèn)題。利用現有的認證目錄是十分重要的,例如AD或者其他類(lèi)型的LDAP目錄等。這樣現有的投資能夠得到平衡,并且整合了新技術(shù)的原有機制也繼續被使用,既節省時(shí)間又能改善安全狀況,供應商們正在努力加強機制的安全性。

  保密

  為了解決保密問(wèn)題,首先技術(shù)控制就是繼續采用加密技術(shù),這樣能夠確保通信的安全性并且能夠確保未經(jīng)批準的用戶(hù)無(wú)法進(jìn)入通信過(guò)程。當通信流量跨越多個(gè)不受你們公司控制的網(wǎng)關(guān)時(shí),這種保密的復雜性就會(huì )顯露出來(lái)。這就是為什么需要充分利用符合標準并且很容易配置的技術(shù)的原因,只有這樣才能夠確保VOIP數據包能夠在數據包的整個(gè)“人生”中都保持加密狀態(tài)。

  另一件需要注意的事情就是擴展數據包大小可能會(huì )導致延遲,你可以通過(guò)為運輸方式選擇不正確的加密類(lèi)型來(lái)實(shí)現這一點(diǎn)。

  協(xié)議

  在現代VOIP部署中有這樣一些常見(jiàn)的協(xié)議,包括RTP, SRTP, ZRTP以及MIKEY等,這些協(xié)議使用AES加密技術(shù)(后臺模式)來(lái)保障安全性。

  SIP(會(huì )議信息協(xié)議)作為首選的VOIP協(xié)議開(kāi)始越來(lái)越多地被采用,該協(xié)議運作的方式可以在會(huì )議初始化協(xié)議及其功能中找到。使用SIP客戶(hù)端,用戶(hù)可以創(chuàng )建一個(gè)綁定到SIP服務(wù)器的身份認證,這個(gè)身份可以用來(lái)登陸到服務(wù)器,而且可以將它作為一個(gè)網(wǎng)關(guān)來(lái)分配來(lái)自?xún)炔亢屯獠康暮艚校镜氐幕蛘哌h程都可以實(shí)現,這就使遠程操控成為可能。利用NISC框架中提出的安全機制,IT專(zhuān)業(yè)人士們可以向他們的用戶(hù)群提供這些功能,然后用戶(hù)就可以安全登陸,使用SIP客戶(hù)端來(lái)進(jìn)行通信。供應商如思科、Mitel、Avaya和很多其他供應商都有SIP協(xié)議為基礎的解決方案,并且同時(shí)也在開(kāi)發(fā)SIP基礎的解決方案。

  在討論加密技術(shù)問(wèn)題時(shí),密鑰管理始終是需要注意的部分,SRTP減輕了密鑰管理作為單一萬(wàn)能密鑰的負擔,密鑰管理既要為保密性保護加密材料又要為完整性加密材料,并且同時(shí)需要處理SRTP流以及相對應的SRTCP流。在某些情況下單一萬(wàn)能密鑰能夠同時(shí)保護幾個(gè)SRTP流。

  一些新協(xié)議如RSIP(域特定協(xié)議)將有助于解決NAT/Ipsec復雜性等挑戰性問(wèn)題,下一代IP協(xié)議(IPNL)可以在通信雙方提供一個(gè)溝通渠道的解決方案,這樣會(huì )使未來(lái)的通信過(guò)程更加安全、快捷和有效。

  提示

  當選擇VOIP解決方案或者網(wǎng)關(guān)的時(shí)候,確保你選擇的解決方案能夠支持H.323協(xié)議

  網(wǎng)絡(luò )

  建設一個(gè)安全的VOIP網(wǎng)絡(luò )需要深入研究VOIP硬件和軟件,這樣才能使VOIP網(wǎng)絡(luò )本身有實(shí)現協(xié)調的可能性。為了操作的簡(jiǎn)便性,將VOIP網(wǎng)絡(luò )分配進(jìn)入其孤立的網(wǎng)絡(luò )要容易得多,只將網(wǎng)絡(luò )的組件連接到合適的公司數據網(wǎng)絡(luò ),并且通過(guò)一定的安全方式(如應用層防火墻)。這是為了確保VOIP網(wǎng)絡(luò )中的任何軟點(diǎn)都不會(huì )輕易被利用,并且嚴格的訪(fǎng)問(wèn)控制機制能夠管理你的企業(yè)局域網(wǎng)和VOIP網(wǎng)絡(luò )間的通信流量。

  網(wǎng)絡(luò )網(wǎng)絡(luò )對于網(wǎng)絡(luò )虛擬專(zhuān)用網(wǎng)而言是必不可少的,能夠確保網(wǎng)絡(luò )通信流量的安全性,而且能夠保持其完整性。

  無(wú)線(xiàn)

  在討論安全問(wèn)題時(shí),大家總會(huì )把目光投到無(wú)線(xiàn),VOIP無(wú)線(xiàn)加密是強制性的,而且如果不是強制性的也會(huì )需要一個(gè)妥協(xié)來(lái)作為保障。在保護無(wú)線(xiàn)網(wǎng)絡(luò )安全問(wèn)題上,IPSec是一個(gè)很好的對策,目前有一些正在運行的項目主要就是在研究VOIP安全問(wèn)題,如Phil Zimmermann公司的zfone項目。

  設備

  設備和服務(wù)器都需要保持物理上的安全,以確保其不被擅自使用。邏輯上的安全同樣也很重要,因為現在解決方案已經(jīng)開(kāi)始適用于遠程操控。電話(huà)賬戶(hù)與任何其他賬戶(hù)一樣都是一種資源,我們已經(jīng)聽(tīng)說(shuō)過(guò)很多關(guān)于賬戶(hù)如何通過(guò)遠程操控被濫用的故事。因為統一身份管理的重要性,你需要確保你的用戶(hù)能夠像安全政策(行政控制)中所描述的一樣定期更改他們的密碼。

  最近英國電視節目中報道了盜賊如何對辦公電話(huà)進(jìn)行遠程修改,從而偷竊用戶(hù)的身份驗證憑證。

  另一種較常見(jiàn)的攻擊是,通過(guò)模擬服務(wù)器來(lái)獲取用戶(hù)的身份驗證憑證,一旦發(fā)生這種情況,用戶(hù)將會(huì )被重定位直合法的服務(wù)器, 解決這種攻擊的對策是要保持合法服務(wù)器物理上的安全以及邏輯上的安全,而且用戶(hù)在進(jìn)行身份驗證前需要對用戶(hù)或者客戶(hù)端軟件進(jìn)行驗證。

  通訊和存儲

  對于任何VOIP解決方案,通訊和存儲經(jīng)常是被忽視的組成部分。前幾年常見(jiàn)這樣一種攻擊方式,就是通過(guò)在默認網(wǎng)絡(luò )密碼框中輸入1234或者0000來(lái)遠程登錄到某人的語(yǔ)音郵箱。這樣使你能夠訪(fǎng)問(wèn)語(yǔ)音郵箱,但是事實(shí)上控制的要素可能將這一功能設置為允許遠程控制,對策就是在該服務(wù)使用前強行更改密碼,這樣能夠確保該服務(wù)的安全運行。存儲也可能受到攻擊,這會(huì )使解決方案變得很容易攻擊,應該從物理上以及邏輯上保護存儲,需要部署有效的措施來(lái)避免任何攻擊。

  總結

  在考慮VOIP安全解決方案時(shí),應該要遵守現有的標準,VOIP技術(shù)仍然在不斷發(fā)展,安全仍然需要不斷完善,并且安全還不是解決方案的組成部分。如果VOIP解決方案被合理地部署在網(wǎng)絡(luò ),最終結果是將會(huì )出現一個(gè)更加安全更加可靠有效費用更加合理的解決方案。

IT專(zhuān)家網(wǎng)


相關(guān)鏈接:
切勿大意 提防統一通信安全威脅 2008-10-15
VoIP服務(wù)的安全應用管理方案 2008-10-14
統一通信的統籌創(chuàng )新 整合信息先加后減 2008-10-14
大唐高鴻:IP融合通信引領(lǐng)者 2008-10-13
網(wǎng)絡(luò )技術(shù)削減手機話(huà)費 VoIP電話(huà)成用戶(hù)第二種選擇 2008-10-10

分類(lèi)信息:              
         
 亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 凌云县| 台南市| 南丰县| 英吉沙县| 云南省| 沈阳市| 深州市| 太湖县| 沐川县| 贵溪市| 镶黄旗| 黑水县| 溆浦县| 关岭| 华阴市| 龙海市| 蒲江县| 嘉荫县| 潼南县| 肇州县| 五大连池市| 收藏| 壶关县| 扎鲁特旗| 肇东市| 黄大仙区| 法库县| 探索| 西乌| 蓝田县| 龙里县| 灵璧县| 青岛市| 南和县| 甘肃省| 水富县| 福清市| 田东县| 屯留县| 合川市| 务川| http://444 http://444 http://444 http://444 http://444 http://444