用多層次方法保VoIP安全

　　現(xiàn)在流行的IP網(wǎng)絡(luò)模型將網(wǎng)絡(luò)通信進(jìn)程分成了不同層面——這樣讓人更易于理解，部署和調(diào)試。不管是國(guó)際標(biāo)準(zhǔn)組織制定的7層模型，或是美國(guó)國(guó)防部開(kāi)發(fā)的4層模型，都能讓人更好地理解每一層面上運(yùn)作的協(xié)議，對(duì)所有IP加密來(lái)說(shuō)也都是必要的（包括VoIP）。

　　當(dāng)然，在所有安全措施當(dāng)中，多層次方法的效果最好。例如，你可能會(huì)為保護(hù)自己的家庭財(cái)產(chǎn)免遭盜賊毒手而實(shí)施一個(gè)多層次方法：在房子周?chē)Q起籬笆，并鎖上了籬笆的大門(mén)；在院子里養(yǎng)一條大狗；又在門(mén)上和窗戶(hù)上安裝防盜鎖；然后又安裝了一套防盜報(bào)警系統(tǒng)；最后還把家里值錢(qián)的東西放在一個(gè)很隱秘的地方，以防萬(wàn)一有人可以繞過(guò)你以上所有安全措施并偷走值錢(qián)東西。 

　　同樣，要保護(hù)你的VoIP網(wǎng)絡(luò)，最好的方法也是采取一種多層次安全機(jī)制，在潛在入侵者的攻擊路線上盡可能多地制造各種障礙。

　　分離語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)

　　要建立一個(gè)安全的VoIP網(wǎng)絡(luò)，首要的步驟就是將其從你的數(shù)據(jù)網(wǎng)絡(luò)中獨(dú)立出來(lái)。 

　　雖然將所有網(wǎng)絡(luò)集成到一起，可能在管理的簡(jiǎn)易性及協(xié)同工作方面更加理想，但并不安全。最好的選擇是使用VLAN交換機(jī)將數(shù)據(jù)網(wǎng)絡(luò)和語(yǔ)音網(wǎng)絡(luò)從邏輯上分離開(kāi)來(lái)——這意味著對(duì)數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行的攻擊將不會(huì)影響到你的VoIP系統(tǒng)。 

　　要將VoIP網(wǎng)絡(luò)從數(shù)據(jù)網(wǎng)絡(luò)中分離出來(lái)，首先要將分離VLAN上的VoIP話機(jī)設(shè)為非路由的地址；然后禁止連接互聯(lián)網(wǎng)的電腦與VoIP之間有任何交流；接下來(lái)還要使用存取控制列表（Access control lists）來(lái)阻止VLAN之間的通訊。

　　配備VoIP專(zhuān)用防火墻

　　對(duì)一個(gè)IP網(wǎng)絡(luò)來(lái)說(shuō)，邊界保護(hù)通常意味著使用防火墻，但是一個(gè)老舊的防火墻是不適合VoIP網(wǎng)絡(luò)的。你需要一個(gè)特別設(shè)計(jì)的防火墻，它得能識(shí)別和分析VoIP協(xié)議，能對(duì)VoIP的數(shù)據(jù)包進(jìn)行深度檢查，并能分析VoIP的有效載荷以便發(fā)現(xiàn)任何與攻擊有關(guān)的蛛絲馬跡。 

　　如果你的VoIP部署使用了SIP協(xié)議（Session Initiation Protocol），那么防火墻就應(yīng)當(dāng)能執(zhí)行下述操作：監(jiān)控進(jìn)出的SIP信息，以便發(fā)現(xiàn)應(yīng)用程序?qū)哟紊系墓簦恢С諸LS（傳輸層安全）；執(zhí)行基于SIP的NAT以及介質(zhì)端口管理；檢測(cè)非正常的呼叫模式；記錄SIP信息的詳情，特別是未經(jīng)授權(quán)的呼叫。 

　　保護(hù)好VoIP網(wǎng)關(guān)

　　網(wǎng)關(guān)是數(shù)據(jù)進(jìn)出VoIP網(wǎng)絡(luò)的關(guān)鍵點(diǎn)，它會(huì)同時(shí)連接不同的網(wǎng)絡(luò)，如IP網(wǎng)絡(luò)和公共電話交換網(wǎng)（PSTN）。你應(yīng)當(dāng)在網(wǎng)關(guān)上使用授權(quán)機(jī)制以及存取控制，以便控制可通過(guò)VoIP系統(tǒng)撥打和接聽(tīng)電話，以及設(shè)定可以執(zhí)行管理任務(wù)的不同人員權(quán)限等等。
 
　　鎖閉網(wǎng)絡(luò)物理層

　　對(duì)一個(gè)語(yǔ)音網(wǎng)絡(luò)而言，限制對(duì)介質(zhì)訪問(wèn)以及對(duì)VoIP服務(wù)器和端點(diǎn)訪問(wèn)非常重要。  {{分頁(yè)}}

　　那些對(duì)介質(zhì)有存取權(quán)限的入侵者們，可能是接上了一臺(tái)交換機(jī)或集線器，也可能是直接轉(zhuǎn)接電纜，或是對(duì)無(wú)線通信進(jìn)行接聽(tīng)——通過(guò)使用一個(gè)“嗅探器”軟件來(lái)捕獲包含語(yǔ)音數(shù)據(jù)及信號(hào)等信息在內(nèi)的所有的數(shù)據(jù)包。然后他們可以使用類(lèi)似VOMIT這樣易用的工具來(lái)對(duì)數(shù)據(jù)進(jìn)行重新整合，從而實(shí)現(xiàn)對(duì)會(huì)話的竊聽(tīng)，他們甚至可以對(duì)通訊過(guò)程進(jìn)行修改，并將之運(yùn)用于語(yǔ)音重放攻擊之中。 

　　要達(dá)到限制對(duì)介質(zhì)訪問(wèn)或?qū)oIP服務(wù)器和端點(diǎn)訪問(wèn)的目的，你得先將所有呼叫服務(wù)器都存放在一個(gè)上鎖的房間中，以對(duì)所有和服務(wù)器有關(guān)的接觸進(jìn)行控制；而后限制對(duì)終端的接觸（包括硬電話機(jī)，安裝在電腦中的“軟電話機(jī)”程序），并將線纜埋設(shè)在墻體中的管道里以保證它們自身的安全；最后你還要謹(jǐn)慎選擇無(wú)線AP的位置，限制無(wú)線交流，限制信號(hào)強(qiáng)度，使用屏蔽材料將無(wú)線信號(hào)盡量阻擋在建筑物之內(nèi)。
 
　　用IPSec加密網(wǎng)絡(luò)層

　　你可以使用IPSec加密來(lái)保護(hù)網(wǎng)絡(luò)中的VoIP數(shù)據(jù)；如果攻擊者穿越了你的物理層防護(hù)措施，并截獲了VoIP數(shù)據(jù)包，他們也無(wú)法破譯其中的內(nèi)容。IPSec使用認(rèn)證頭以及壓縮安全有效載荷來(lái)為IP傳輸提供認(rèn)證性、完整性以及機(jī)密性。 

　　VoIP上的IPSec使用隧道模式，對(duì)兩頭終端的身份進(jìn)行保護(hù)。IPSec可以讓VoIP通訊比使用傳統(tǒng)的電話線更安全。

　　用TLS鎖定會(huì)話層

　　你還可以使用TLS來(lái)保護(hù)VoIP會(huì)話，TLS使用的是數(shù)字簽名和公共密鑰加密，這意味著每一個(gè)端點(diǎn)都必須有一個(gè)可信任的、由權(quán)威CA認(rèn)證的簽名?；蛘吣阋部梢酝ㄟ^(guò)一個(gè)內(nèi)部CA（比如一臺(tái)運(yùn)行了認(rèn)證服務(wù)的Windows服務(wù)器）來(lái)進(jìn)行企業(yè)內(nèi)部的通話，并經(jīng)由一個(gè)公共CA來(lái)進(jìn)行公司之外的通話。

　　用SRTP保護(hù)應(yīng)用層

　　你可以使用“安全RTP（SRTP）”來(lái)對(duì)應(yīng)用層的介質(zhì)進(jìn)行加密。RFC 3711定義了SRTP，讓它可以提供信息認(rèn)證、機(jī)密性、回放保護(hù)、阻止對(duì)RTP數(shù)據(jù)流的拒絕服務(wù)式攻擊等安全機(jī)制。通過(guò)SRTP，你可以對(duì)無(wú)線網(wǎng)和有線網(wǎng)上的VoIP通訊進(jìn)行有效的保護(hù)。

　　總結(jié)

　　基于IP網(wǎng)絡(luò)及其協(xié)議的公共性質(zhì)，使得VoIP天生就具備相對(duì)于傳統(tǒng)電話網(wǎng)而言更易受到攻擊的特質(zhì)。不過(guò)，通過(guò)采取一個(gè)仔細(xì)規(guī)劃的、多層次的VoIP網(wǎng)絡(luò)防護(hù)措施，企業(yè)就可以讓VoIP網(wǎng)絡(luò)的安全程度趕上甚至是超過(guò)傳統(tǒng)的電話系統(tǒng)。