VoIP存在很多安全隱患,面臨很多安全威脅,但是這不是說VoIP的安全性就不可救藥,實(shí)際上隨著安全事件的屢次發(fā)生,眾多VoIP廠商也在不斷的實(shí)踐中積累著經(jīng)驗(yàn),通過一些措施來更大限度的保障VoIP的安全。
但提高VoIP的安全性要雙管齊下,除了VoIP廠商要摒棄VoIP安全是一個附加產(chǎn)品的觀念,將安全技術(shù)一并根植于VoIP產(chǎn)品本身外;對于VoIP使用者而言,要充分意識到,VoIP設(shè)備的安全直接影響著整個企業(yè)基礎(chǔ)網(wǎng)絡(luò)的安全,作為管理者不要認(rèn)為采用VoIP產(chǎn)品僅僅是添加了一部網(wǎng)絡(luò)電話,如果不做好完備的防護(hù)措施,它很有可能將成為黑客輕松進(jìn)入企業(yè)內(nèi)網(wǎng)的一扇門,因此企業(yè)應(yīng)選用來自IT或數(shù)據(jù)部門的專業(yè)人士來管理IP通訊系統(tǒng),而并非原有的語音部門,這些人必須比管理傳統(tǒng)PBX的專業(yè)人員更謹(jǐn)慎小心。
可以看出VoIP面臨的安全問題實(shí)際上大部分是IP網(wǎng)絡(luò)所面臨的問題。因此常規(guī)的安全措施是首先要保證的,另外VoIP應(yīng)用的特殊性使其需要特殊的措施來加強(qiáng)安全性,下面筆者推薦幾種防范小措施。這幾個措施可能并沒有使用什么高深的技術(shù),但采取這幾種措施之后可能會幫助你的網(wǎng)絡(luò)堵住VoIP大漏洞。
VoIP統(tǒng)一到一個VLAN中便于設(shè)置QoS策略
筆者見到很多用戶部署VoIP時(shí),往往采用VoIP和一般性數(shù)據(jù)混合在一個網(wǎng)絡(luò)之中。這種部署方式的最大軟肋在于,因VoIP對帶寬以及QoS的需求與一般數(shù)據(jù)并不相同,將直接導(dǎo)致交換、路由器以及網(wǎng)絡(luò)上諸多安全設(shè)備的傳輸效能大大降低。
將VoIP數(shù)據(jù)與一般性數(shù)據(jù)進(jìn)行甄別之后,分開傳輸無疑是最恰當(dāng)?shù)姆椒。而這一方法也是思科等VoIP設(shè)備供應(yīng)商們的推薦方法之一。
具體方法是,將語音和數(shù)據(jù)劃分到不同的虛擬局域網(wǎng)(VLAN)中分開,讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸;將VoIP統(tǒng)一到同一個VLAN中,在同一VLAN中傳輸?shù)臄?shù)據(jù)對服務(wù)質(zhì)量(QoS)要求相同,可以簡化服務(wù)質(zhì)量(QoS)設(shè)置。QoS設(shè)置簡化后,用戶只需為VoIP虛擬局域網(wǎng)賦予優(yōu)先級即可。有一點(diǎn)需要注意,當(dāng)VoIP如果要通過路由器進(jìn)行傳輸,仍需要第三層服務(wù)質(zhì)量。
這種方法帶來直接的好處是,兩者分開還可以將語音網(wǎng)絡(luò)從數(shù)據(jù)VLAN中隱藏起來,可以有效地解決數(shù)據(jù)欺騙、DoS攻擊等,因此沒有了可能會發(fā)起攻擊的計(jì)算機(jī),你的VoIP網(wǎng)絡(luò)就會安全很多。
加固你的VoIP服務(wù)器防范竊聽
實(shí)際上,將VoIP信號統(tǒng)一到同一個VLAN中,除了上述優(yōu)點(diǎn)之外,還可以大大降低竊聽電話現(xiàn)象的發(fā)生。如果語音包被人用分析儀獲取,重放語音就輕而易舉。虛擬局域網(wǎng)可以阻止有人從外面發(fā)動攻擊。
俗話說"家賊難防",上述方法只能防范外部網(wǎng)絡(luò)電話的竊聽行為,對內(nèi)部攻擊卻難以預(yù)防。因?yàn)閮?nèi)部人員只要將任意一個終端設(shè)備接入網(wǎng)絡(luò)之中,進(jìn)行適當(dāng)配置,披上偽裝成為VoIP虛擬局域網(wǎng)的一部分,就可以任意竊聽。要防止這種破壞,最好的辦法就是購買具有強(qiáng)加密功能的VoIP電話,而這種方法要奏效,每只電話都要有加密功能。這種防范方法造價(jià)高,其保密效果到底能提升到何種程度,都很難說。
另外一種更為直接有效的方法是"釜底抽薪"。也就是將VoIP服務(wù)器從物理上杜絕內(nèi)部和外部攻擊者,以避免別有用心者利用偵聽技術(shù)來截取VoIP信息。具體方法是,鎖定能夠訪問VoIP管理界面的IP地址和MAC地址,同時(shí)在SIP網(wǎng)關(guān)前放置防火墻,以達(dá)到只允許合法用戶才可以進(jìn)入相關(guān)VoIP系統(tǒng)。
譬如說,Ingate公司的防火墻就是為基于SIP的VoIP系統(tǒng)而設(shè)計(jì)。Ingate最近宣布,如今其產(chǎn)品已通過了認(rèn)證,能夠與Avaya公司的基于SIP的產(chǎn)品協(xié)同工作。
確保你實(shí)施的VoIP系統(tǒng)基于SIP,那樣以后需要安全選項(xiàng)功能時(shí)不至于只能求助于你現(xiàn)有的VoIP廠商。
有些用戶不僅使用防火墻,還對相關(guān)的VoIP數(shù)據(jù)包進(jìn)行加密。然而你可知道,僅僅加密發(fā)送出去的數(shù)據(jù)是不夠的,還必須加密所有呼叫信號。加密語音數(shù)據(jù)包可以防止語音插入。例如可以通過實(shí)時(shí)安全協(xié)議(SRTP)來加密節(jié)點(diǎn)之間的通信,通過TLS來加密整個過程。
監(jiān)視跟蹤、網(wǎng)絡(luò)冗余等手段抵御DoS攻擊
竊取VoIP帳號是黑客借助VoIP網(wǎng)絡(luò)偽裝成合法客戶,進(jìn)入企業(yè)網(wǎng)絡(luò)最常用的方法之一。為了竊取帳號,黑客可以說是不擇手段,甚至是采用暴力破解方法來攻擊某一個帳號的密碼,試圖破解控制它。這勢必會引起網(wǎng)絡(luò)流量驟增,引發(fā)DoS攻擊幾率大大增加。
通過部署合適的監(jiān)視工具和入侵檢測系統(tǒng),可以幫助你發(fā)現(xiàn)試圖攻入你的VoIP網(wǎng)絡(luò)的各種嘗試。通過仔細(xì)觀察這些工具所記錄下來的日志,有助于你及時(shí)發(fā)現(xiàn)各種數(shù)據(jù)流量的異常狀況,從而可以發(fā)現(xiàn)是否有人試圖使用暴力破解帳號進(jìn)入網(wǎng)絡(luò)。
不得不承認(rèn),無論你的防范多么嚴(yán)密,總會有攻擊的發(fā)生,因此請做好準(zhǔn)備應(yīng)對DoS攻擊或病毒導(dǎo)致網(wǎng)絡(luò)癱瘓,其中一個辦法就是增加冗余設(shè)計(jì),一旦現(xiàn)在運(yùn)行著的系統(tǒng)遭受攻擊或出現(xiàn)意外,可以自動切換到另一套設(shè)備上,這樣可以最大限度地減少損失,為你發(fā)現(xiàn)并解決問題提供充裕的時(shí)間。
VoIP網(wǎng)絡(luò)的安全性很大程度上取決于網(wǎng)絡(luò)內(nèi)設(shè)備的操作系統(tǒng)和運(yùn)行在其上的各種應(yīng)用。及時(shí)維護(hù)操作系統(tǒng)和VoIP應(yīng)用系統(tǒng)的補(bǔ)丁,對于防范來自惡意軟件或病毒的威脅是非常重要的。事實(shí)上,很多攻擊都是利用了系統(tǒng)的漏洞。這一點(diǎn)與IP網(wǎng)絡(luò)的安全防御是一致的。
制定一個計(jì)劃,把自己的角色轉(zhuǎn)換成一個黑客的身份,那么嘗試用各種辦法來攻擊你的VoIP系統(tǒng)吧,盡管找不到攻擊入口并不代表你的VoIP系統(tǒng)就是安全的,但是如果能找到入口,那么別人也可以,趕快采取辦法來堵住這個漏洞。
加固VoIP網(wǎng)絡(luò)的辦法絕不僅如此,本文只撿一些必要的幾點(diǎn)進(jìn)行介紹。然而這并不是最重要的,比這更重要的是,我們要正確面對VoIP存在的安全問題,既要承認(rèn)它的存在,又要相信通過合理、良好的設(shè)計(jì)和良好的安全習(xí)慣,我們可以把其安全風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。
來源:至頂網(wǎng)