新聞中心

EEPW首頁 > 網(wǎng)絡與存儲 > 學習方法與實踐 > 用多層次方法保VoIP安全

用多層次方法保VoIP安全

——
作者: 時間:2008-01-22 來源:CNET科技資訊網(wǎng) 收藏

  現(xiàn)在流行的IP網(wǎng)絡模型將網(wǎng)絡進程分成了不同層面——這樣讓人更易于理解,部署和調(diào)試。不管是國際標準組織制定的7層模型,或是美國國防部開發(fā)的4層模型,都能讓人更好地理解每一層面上運作的協(xié)議,對所有IP加密來說也都是必要的(包括)。

  當然,在所有安全措施當中,多層次方法的效果最好。例如,你可能會為保護自己的家庭財產(chǎn)免遭盜賊毒手而實施一個多層次方法:在房子周圍豎起籬笆,并鎖上了籬笆的大門;在院子里養(yǎng)一條大狗;又在門上和窗戶上安裝防盜鎖;然后又安裝了一套防盜報警系統(tǒng);最后還把家里值錢的東西放在一個很隱秘的地方,以防萬一有人可以繞過你以上所有安全措施并偷走值錢東西。 

  同樣,要保護你的網(wǎng)絡,最好的方法也是采取一種多層次安全機制,在潛在入侵者的攻擊路線上盡可能多地制造各種障礙。

  分離語音和數(shù)據(jù)網(wǎng)絡

  要建立一個安全的網(wǎng)絡,首要的步驟就是將其從你的數(shù)據(jù)網(wǎng)絡中獨立出來。 

  雖然將所有網(wǎng)絡集成到一起,可能在管理的簡易性及協(xié)同工作方面更加理想,但并不安全。最好的選擇是使用VLAN交換機將數(shù)據(jù)網(wǎng)絡和語音網(wǎng)絡從邏輯上分離開來——這意味著對數(shù)據(jù)網(wǎng)絡進行的攻擊將不會影響到你的VoIP系統(tǒng)。 

  要將VoIP網(wǎng)絡從數(shù)據(jù)網(wǎng)絡中分離出來,首先要將分離VLAN上的VoIP話機設為非路由的地址;然后禁止連接互聯(lián)網(wǎng)的電腦與VoIP之間有任何交流;接下來還要使用存取控制列表(Access control lists)來阻止VLAN之間的通訊。

  配備VoIP專用防火墻

  對一個IP網(wǎng)絡來說,邊界保護通常意味著使用防火墻,但是一個老舊的防火墻是不適合VoIP網(wǎng)絡的。你需要一個特別設計的防火墻,它得能識別和分析VoIP協(xié)議,能對VoIP的數(shù)據(jù)包進行深度檢查,并能分析VoIP的有效載荷以便發(fā)現(xiàn)任何與攻擊有關的蛛絲馬跡。 

  如果你的VoIP部署使用了SIP協(xié)議(Session Initiation Protocol),那么防火墻就應當能執(zhí)行下述操作:監(jiān)控進出的SIP信息,以便發(fā)現(xiàn)應用程序層次上的攻擊;支持TLS(傳輸層安全);執(zhí)行基于SIP的NAT以及介質(zhì)端口管理;檢測非正常的呼叫模式;記錄SIP信息的詳情,特別是未經(jīng)授權的呼叫。 

  保護好VoIP網(wǎng)關

  網(wǎng)關是數(shù)據(jù)進出VoIP網(wǎng)絡的關鍵點,它會同時連接不同的網(wǎng)絡,如IP網(wǎng)絡和公共電話交換網(wǎng)(PSTN)。你應當在網(wǎng)關上使用授權機制以及存取控制,以便控制可通過VoIP系統(tǒng)撥打和接聽電話,以及設定可以執(zhí)行管理任務的不同人員權限等等。
 
  鎖閉網(wǎng)絡物理層

  對一個語音網(wǎng)絡而言,限制對介質(zhì)訪問以及對VoIP服務器和端點訪問非常重要。  {{分頁}}

  那些對介質(zhì)有存取權限的入侵者們,可能是接上了一臺交換機或集線器,也可能是直接轉接電纜,或是對進行接聽——通過使用一個“嗅探器”軟件來捕獲包含語音數(shù)據(jù)及信號等信息在內(nèi)的所有的數(shù)據(jù)包。然后他們可以使用類似VOMIT這樣易用的工具來對數(shù)據(jù)進行重新整合,從而實現(xiàn)對會話的竊聽,他們甚至可以對通訊過程進行修改,并將之運用于語音重放攻擊之中。 

  要達到限制對介質(zhì)訪問或對VoIP服務器和端點訪問的目的,你得先將所有呼叫服務器都存放在一個上鎖的房間中,以對所有和服務器有關的接觸進行控制;而后限制對終端的接觸(包括硬電話機,安裝在電腦中的“軟電話機”程序),并將線纜埋設在墻體中的管道里以保證它們自身的安全;最后你還要謹慎選擇AP的位置,限制交流,限制信號強度,使用屏蔽材料將無線信號盡量阻擋在建筑物之內(nèi)。
 
  用IPSec加密網(wǎng)絡層

  你可以使用IPSec加密來保護網(wǎng)絡中的VoIP數(shù)據(jù);如果攻擊者穿越了你的物理層防護措施,并截獲了VoIP數(shù)據(jù)包,他們也無法破譯其中的內(nèi)容。IPSec使用認證頭以及壓縮安全有效載荷來為IP傳輸提供認證性、完整性以及機密性。 

  VoIP上的IPSec使用隧道模式,對兩頭終端的身份進行保護。IPSec可以讓VoIP通訊比使用傳統(tǒng)的電話線更安全。

  用TLS鎖定會話層

  你還可以使用TLS來保護VoIP會話,TLS使用的是數(shù)字簽名和公共密鑰加密,這意味著每一個端點都必須有一個可信任的、由權威CA認證的簽名。或者你也可以通過一個內(nèi)部CA(比如一臺運行了認證服務的Windows服務器)來進行企業(yè)內(nèi)部的通話,并經(jīng)由一個公共CA來進行公司之外的通話。

  用SRTP保護應用層

  你可以使用“安全RTP(SRTP)”來對應用層的介質(zhì)進行加密。RFC 3711定義了SRTP,讓它可以提供信息認證、機密性、回放保護、阻止對RTP數(shù)據(jù)流的拒絕服務式攻擊等安全機制。通過SRTP,你可以對無線網(wǎng)和有線網(wǎng)上的VoIP通訊進行有效的保護。

  總結

  基于IP網(wǎng)絡及其協(xié)議的公共性質(zhì),使得VoIP天生就具備相對于傳統(tǒng)電話網(wǎng)而言更易受到攻擊的特質(zhì)。不過,通過采取一個仔細規(guī)劃的、多層次的VoIP網(wǎng)絡防護措施,企業(yè)就可以讓VoIP網(wǎng)絡的安全程度趕上甚至是超過傳統(tǒng)的電話系統(tǒng)。



關鍵詞: VoIP 無線 通信

評論


相關推薦

技術專區(qū)

關閉