主頁(yè) > 知識(shí)庫(kù) > VOIP網(wǎng)絡(luò)安全保護(hù) 多重措施齊發(fā)力

VOIP網(wǎng)絡(luò)安全保護(hù) 多重措施齊發(fā)力

相對(duì)于傳統(tǒng)網(wǎng)絡(luò)電話而言，VoIP顯然更加容易受到攻擊，這是由于VoIP基于IP網(wǎng)絡(luò)及其協(xié)議的公共性質(zhì)的天性使然，不過，通過采取一個(gè)仔細(xì)規(guī)劃的、多層次的VoIP網(wǎng)絡(luò)防護(hù)措施，企業(yè)就可以讓VoIP網(wǎng)絡(luò)的安全程度趕上甚至是超過傳統(tǒng)的電話系統(tǒng)。安全問題，是各行各業(yè)都必須關(guān)注的問題之一，通信領(lǐng)域也不例外，如今，VoIP已經(jīng)成為通信領(lǐng)域的主角，與此同時(shí)，如何保障VoIP網(wǎng)絡(luò)安全，就成為非常重要的課題之一。現(xiàn)在流行的IP網(wǎng)絡(luò)模型將網(wǎng)絡(luò)通信進(jìn)程分成了不同層面——這樣讓人更易于理解，部署和調(diào)試。不管是國(guó)際標(biāo)準(zhǔn)組織制定的7層模型，或是美國(guó)國(guó)防部開發(fā)的4層模型，都能讓人更好地理解每一層面上運(yùn)作的協(xié)議，對(duì)所有IP加密來說也都是必要的（包括VoIP）。當(dāng)然，在所有安全措施當(dāng)中，多層次方法的效果最好。例如，你可能會(huì)為保護(hù)自己的家庭財(cái)產(chǎn)免遭盜賊毒手而實(shí)施一個(gè)多層次方法：在房子周圍豎起籬笆，并鎖上了籬笆的大門；在院子里養(yǎng)一條大狗；又在門上和窗戶上安裝防盜鎖；然后又安裝了一套防盜報(bào)警系統(tǒng)；最后還把家里值錢的東西放在一個(gè)很隱秘的地方，以防萬一有人可以繞過你以上所有安全措施并偷走值錢東西。同樣，要保護(hù)你的VoIP網(wǎng)絡(luò)，最好的方法也是采取一種多層次安全機(jī)制，在潛在入侵者的攻擊路線上盡可能多地制造各種障礙。分離語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò) 要建立一個(gè)安全的VoIP網(wǎng)絡(luò)，首要的步驟就是將其從你的數(shù)據(jù)網(wǎng)絡(luò)中獨(dú)立出來。雖然將所有網(wǎng)絡(luò)集成到一起，可能在管理的簡(jiǎn)易性及協(xié)同工作方面更加理想，但并不安全。最好的選擇是使用VLAN交換機(jī)將數(shù)據(jù)網(wǎng)絡(luò)和語(yǔ)音網(wǎng)絡(luò)從邏輯上分離開來——這意味著對(duì)數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行的攻擊將不會(huì)影響到你的VoIP系統(tǒng)。要將VoIP網(wǎng)絡(luò)從數(shù)據(jù)網(wǎng)絡(luò)中分離出來，首先要將分離VLAN上的VoIP話機(jī)設(shè)為非路由的地址；然后禁止連接互聯(lián)網(wǎng)的電腦與VoIP之間有任何交流；接下來還要使用存取控制列表來阻止VLAN之間的通訊。配備VoIP專用防火墻對(duì)一個(gè)IP網(wǎng)絡(luò)來說，邊界保護(hù)通常意味著使用防火墻，但是一個(gè)老舊的防火墻是不適合VoIP網(wǎng)絡(luò)的。你需要一個(gè)特別設(shè)計(jì)的防火墻，它得能識(shí)別和分析VoIP協(xié)議，能對(duì)VoIP的數(shù)據(jù)包進(jìn)行深度檢查，并能分析VoIP的有效載荷以便發(fā)現(xiàn)任何與攻擊有關(guān)的蛛絲馬跡。如果你的VoIP部署使用了SIP協(xié)議，那么防火墻就應(yīng)當(dāng)能執(zhí)行下述操作：監(jiān)控進(jìn)出的SIP信息，以便發(fā)現(xiàn)應(yīng)用程序?qū)哟紊系墓?；支持TLS（傳輸層安全）；執(zhí)行基于SIP的NAT以及介質(zhì)端口管理；檢測(cè)非正常的呼叫模式；記錄SIP信息的詳情，特別是未經(jīng)授權(quán)的呼叫。保護(hù)好VoIP網(wǎng)關(guān) 網(wǎng)關(guān)是數(shù)據(jù)進(jìn)出VoIP網(wǎng)絡(luò)的關(guān)鍵點(diǎn)，它會(huì)同時(shí)連接不同的網(wǎng)絡(luò)，如IP網(wǎng)絡(luò)和公共電話交換網(wǎng)（PSTN）。你應(yīng)當(dāng)在網(wǎng)關(guān)上使用授權(quán)機(jī)制以及存取控制，以便控制可通過VoIP系統(tǒng)撥打和接聽電話，以及設(shè)定可以執(zhí)行管理任務(wù)的不同人員權(quán)限等等。鎖閉網(wǎng)絡(luò)物理層對(duì)一個(gè)語(yǔ)音網(wǎng)絡(luò)而言，限制對(duì)介質(zhì)訪問以及對(duì)VoIP服務(wù)器和端點(diǎn)訪問非常重要。那些對(duì)介質(zhì)有存取權(quán)限的入侵者們，可能是接上了一臺(tái)交換機(jī)或集線器，也可能是直接轉(zhuǎn)接電纜，或是對(duì)無線通信進(jìn)行接聽——通過使用一個(gè)嗅探器軟件來捕獲包含語(yǔ)音數(shù)據(jù)及信號(hào)等信息在內(nèi)的所有的數(shù)據(jù)包。然后他們可以使用類似VOMIT這樣易用的工具來對(duì)數(shù)據(jù)進(jìn)行重新整合，從而實(shí)現(xiàn)對(duì)會(huì)話的竊聽，他們甚至可以對(duì)通訊過程進(jìn)行修改，并將之運(yùn)用于語(yǔ)音重放攻擊之中。要達(dá)到限制對(duì)介質(zhì)訪問或?qū)oIP服務(wù)器和端點(diǎn)訪問的目的，你得先將所有呼叫服務(wù)器都存放在一個(gè)上鎖的房間中，以對(duì)所有和服務(wù)器有關(guān)的接觸進(jìn)行控制；而后限制對(duì)終端的接觸（包括硬電話機(jī)，安裝在電腦中的軟電話機(jī)程序），并將線纜埋設(shè)在墻體中的管道里以保證它們自身的安全；最后你還要謹(jǐn)慎選擇無線AP的位置，限制無線交流，限制信號(hào)強(qiáng)度，使用屏蔽材料將無線信號(hào)盡量阻擋在建筑物之內(nèi)。用IPSec加密網(wǎng)絡(luò)層你可以使用IPSec加密來保護(hù)網(wǎng)絡(luò)中的VoIP數(shù)據(jù)；如果攻擊者穿越了你的物理層防護(hù)措施，并截獲了VoIP數(shù)據(jù)包，他們也無法破譯其中的內(nèi)容。IPSec使用認(rèn)證頭以及壓縮安全有效載荷來為IP傳輸提供認(rèn)證性、完整性以及機(jī)密性。 VoIP上的IPSec使用隧道模式，對(duì)兩頭終端的身份進(jìn)行保護(hù)。IPSec可以讓VoIP通訊比使用傳統(tǒng)的電話線更安全。用TLS鎖定會(huì)話層你還可以使用TLS來保護(hù)VoIP會(huì)話，TLS使用的是數(shù)字簽名和公共密鑰加密，這意味著每一個(gè)端點(diǎn)都必須有一個(gè)可信任的、由權(quán)威CA認(rèn)證的簽名?；蛘吣阋部梢酝ㄟ^一個(gè)內(nèi)部CA（比如一臺(tái)運(yùn)行了認(rèn)證服務(wù)的Windows服務(wù)器）來進(jìn)行企業(yè)內(nèi)部的通話，并經(jīng)由一個(gè)公共CA來進(jìn)行公司之外的通話。用SRTP保護(hù)應(yīng)用層你可以使用安全RTP（SRTP）來對(duì)應(yīng)用層的介質(zhì)進(jìn)行加密。RFC 3711定義了SRTP，讓它可以提供信息認(rèn)證、機(jī)密性、回放保護(hù)、阻止對(duì)RTP數(shù)據(jù)流的拒絕服務(wù)式攻擊等安全機(jī)制。通過SRTP，你可以對(duì)無線網(wǎng)和有線網(wǎng)上的VoIP通訊進(jìn)行有效的保護(hù)。

標(biāo)簽：百色重慶青島淮北河南潛江漢中遼陽(yáng)

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《VOIP網(wǎng)絡(luò)安全保護(hù) 多重措施齊發(fā)力》，本文關(guān)鍵詞；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題，煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無關(guān)。