十種方法教你打造安全VoIP

標簽：VLAN VoIP

你可以使用IPSec加密來保護網(wǎng)絡中的VoIP數(shù)據(jù);如果攻擊者穿越了你的物理層防護措施，并截獲了VoIP數(shù)據(jù)包，他們也無法破譯其中的內(nèi)容。IPSec使用認證頭以及壓縮安全有效載荷來為IP傳輸提供認證性、完整性以及機密性。

網(wǎng)絡層加密

你可以使用IPSec加密來保護網(wǎng)絡中的VoIP數(shù)據(jù);如果攻擊者穿越了你的物理層防護措施，并截獲了VoIP數(shù)據(jù)包，他們也無法破譯其中的內(nèi)容。IPSec使用認證頭以及壓縮安全有效載荷來為IP傳輸提供認證性、完整性以及機密性。

VoIP上的IPSec使用隧道模式，對兩頭終端的身份進行保護。IPSec可以讓VoIP通訊比使用傳統(tǒng)的電話線更安全。

會話層鎖定

你還可以使用TLS來保護VoIP會話，TLS使用的是數(shù)字簽名和公共密鑰加密，這意味著每一個端點都必須有一個可信任的、由權(quán)威CA認證的簽名?；蛘吣阋部梢酝ㄟ^一個內(nèi)部CA(比如一臺運行了認證服務的Windows服務器)來進行企業(yè)內(nèi)部的通話，并經(jīng)由一個公共CA來進行公司之外的通話。

保護應用層

你可以使用“安全RTP(SRTP)”來對應用層的介質(zhì)進行加密。RFC 3711定義了SRTP，讓它可以提供信息認證、機密性、回放保護、阻止對RTP數(shù)據(jù)流的拒絕服務式攻擊等安全機制。通過SRTP，你可以對無線網(wǎng)和有線網(wǎng)上的VoIP通訊進行有效的保護。

建立VoIP網(wǎng)絡的冗余機制

要時刻準備著可能會遭到病毒、DoS攻擊，它們可能會導致網(wǎng)絡系統(tǒng)癱瘓。構(gòu)建能夠設置多層節(jié)點、網(wǎng)關(guān)、服務器、電源及呼叫路由器的網(wǎng)絡系統(tǒng)，并與不只一個供應商互聯(lián)。經(jīng)常性的對各個網(wǎng)絡系統(tǒng)進行考驗，確保其工作良好，當主服務網(wǎng)絡癱瘓時，備用設施可以迅速接管工作。

配備專用防火墻

對一個IP網(wǎng)絡來說，邊界保護通常意味著使用防火墻，不過一個老舊的防火墻是不適合VoIP網(wǎng)絡的。你需要一個特別設計的防火墻，他得能識別和分析VoIP協(xié)議，能對VoIP的數(shù)據(jù)包進行深度檢查，并能分析VoIP的有效載荷以便發(fā)現(xiàn)所有和攻擊有關(guān)的蛛絲馬跡。

如果你的VoIP部署使用了SIP協(xié)議(Session Initiation Protocol)，那么防火墻就應當能執(zhí)行下述操作：監(jiān)視進出的SIP信息，以便發(fā)現(xiàn)應用程式層次上的攻擊;支持TLS(傳輸層安全);執(zhí)行基于SIP的NAT及介質(zhì)端口管理;檢測非正常的呼叫模式;記錄SIP信息的詳情，特別是未經(jīng)授權(quán)的呼叫。

內(nèi)外網(wǎng)隔離

將電話管理系統(tǒng)與網(wǎng)絡系統(tǒng)置于國際互聯(lián)網(wǎng)絡直接訪問之外是一個不錯的選擇，將語音服務與其它服務器置于相分離的域中，并限制對其訪問。

盡量減少軟終端

VoIP軟終端電話易于遭受電腦黑客攻擊，即使它位于公司防火墻之后，因為這種東西是與普通的PC、VoIP軟件及一對耳機一起使用的。而且，軟終端電話并沒有將語音和數(shù)據(jù)分開，因此，易于受到病毒和蠕蟲的攻擊。

限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€VLAN上

Cisco建議對語音和數(shù)據(jù)分別劃分VLAN，這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù)。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計算機形成了一個有效的封閉的圈子，它不允許任何其它計算機訪問其設備，從而也就避免了電腦的攻擊，VoIP網(wǎng)絡也就相當安全;即使受到攻擊，也會將損失降到最低。

監(jiān)控并跟蹤網(wǎng)絡的通信模式

監(jiān)控工具和入侵探測系統(tǒng)能幫助用戶識別那些侵入VoIP網(wǎng)絡的企圖。詳細觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西，如莫名其妙的國際電話或是本公司或組織基本不聯(lián)系的國際電話，多重登錄試圖破解密碼，語音暴增等。

定期進行安全

要確信只有經(jīng)過鑒別的設備和用戶，才可以訪問那些經(jīng)過限制的以太網(wǎng)端口。管理員常常被欺騙，接授那些沒有經(jīng)過允許的軟終端電話的請求，因為黑客們能夠通過插入RJ44端口輕易地模仿IP地址和MAC地址。

總結(jié)

基于IP網(wǎng)絡及其協(xié)議的公共性質(zhì)，使得VoIP天生就具備相對于傳統(tǒng)電話網(wǎng)而言更易受到攻擊的特質(zhì)。不過，通過采取一個仔細規(guī)劃的、多層次的VoIP網(wǎng)絡防護措施，企業(yè)就可以讓VoIP網(wǎng)絡的安全程度趕上甚至是超過傳統(tǒng)的電話系統(tǒng)。