VoIP(Voice over Internet Protocol)简而言之就是将模拟声音讯号(Voice)数字化,以数据封包(Data Packet)的型式在 IP 数据网络 (IP Network)上做实时传递。 VoIP的优势是能广泛地采用Internet和IP互连的环境,提供比传统业务更多、更好的服务。 VoIP可以在IP网络上便宜的传送语音、传真、视频、和数据等业务,如统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet呼叫中心、Internet呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储转发等。在未来的3到5年,2009年的中国VoIP市场流量将达到9950亿分钟,而具有更强大实力的新VoIP服务供应商也会涌入市场。无线VoIP在不久的将来会与传统无线通信实现并存和竞争的关系,而不是对传统无线通信的一种廉价替代物。
你可以使用IPSec加密来保护网络中的VoIP数据;如果攻击者穿越了你的物理层防护措施,并截获了VoIP数据包,他们也无法破译其中的内容。IPSec使用头以及压缩安全有效载荷来为IP传输提供性、完整性以及机密性。
网络层加密
你可以使用IPSec加密来保护网络中的VoIP数据;如果攻击者穿越了你的物理层防护措施,并截获了VoIP数据包,他们也无法破译其中的内容。IPSec使用头以及压缩安全有效载荷来为IP传输提供性、完整性以及机密性。
IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。
会话层锁定
你还可以使用TLS来保护VoIP会话,TLS使用的是数字签名和公共密钥加密,这意味着每一个端点都必须有一个可信任的、由权威CA的签名。或者你也可以通过一个内部CA(比如一台运行了服务的Windows服务器)来进行企业内部的通话,并经由一个公共CA来进行公司之外的通话。
保护应用层
你可以使用"安全RTP(SRTP)"来对应用层的介质进行加密。RFC 3711定义了SRTP,让它可以提供信息、机密性、回放保护、阻止对RTP数据流的拒绝服务式攻击等安全机制。通过SRTP,你可以对无线网和有线网上的VoIP通讯进行有效的保护。
建立VoIP网络的冗余机制
要时刻准备着可能会遭到病毒、DoS攻击,它们可能会导致网络系统瘫痪。构建能够设置多层节点、网关、服务器、电源及呼叫路由器的网络系统,并与不只一个供应商互联。经常性的对各个网络系统进行考验,确保其工作良好,当主服务网络瘫痪时,备用设施可以迅速接管工作。
配备专用防火墙
对一个IP网络来说,边界保护通常意味着使用防火墙,不过一个老旧的防火墙是不适合VoIP网络的。你需要一个特别设计的防火墙,他得能识别和分析VoIP协议,能对VoIP的数据包进行深度检查,并能分析VoIP的有效载荷以便发现所有和攻击有关的蛛丝马迹。
如果你的VoIP部署使用了SIP协议(Session Initiation Protocol),那么防火墙就应当能执行下述操作:监视进出的SIP信息,以便发现应用程式层次上的攻击;支持TLS(传输层安全);执行基于SIP的NAT及介质端口管理;检测非正常的呼叫模式;记录SIP信息的详情,特别是未经授权的呼叫。
内外网隔离
将电话管理系统与网络系统置于国际互联网络直接访问之外是一个不错的选择,将语音服务与其它服务器置于相分离的域中,并限制对其访问。
尽量减少软终端
VoIP软终端电话易于遭受电脑黑客攻击,即使它位于公司防火墙之后,因为这种东西是与普通的PC、VoIP软件及一对耳机一起使用的。而且,软终端电话并没有将语音和数据分开,因此,易于受到病毒和蠕虫的攻击。
限制所有的VoIP数据只能传输到一个VLAN上
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网".VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
Cisco建议对语音和数据分别划分VLAN,这样有助于按照优先次序来处理语音和数据。划分VLAN也有助于防御费用欺诈、DoS攻击、窃听、劫持通信等。VLAN的划分使用户的计算机形成了一个有效的封闭的圈子,它不允许任何其它计算机访问其设备,从而也就避免了电脑的攻击,VoIP网络也就相当安全;即使受到攻击,也会将损失降到。
监控并跟踪网络的通信模式
监控工具和入侵探测系统能帮助用户识别那些侵入VoIP网络的企图。详细观察VoIP日志可以帮助发现一些不规则的东西,如莫名其妙的国际电话或是本公司或组织基本不联系的国际电话,多重登录试图破解密码,语音暴增等。
定期进行安全
要确信只有经过鉴别的设备和用户,才可以访问那些经过限制的以太网端口。管理员常常被欺骗,接授那些没有经过允许的软终端电话的请求,因为黑客们能够通过插入RJ44端口轻易地模仿IP地址和MAC地址。
总结
基于IP网络及其协议的公共性质,使得VoIP天生就具备相对于传统电话网而言更易受到攻击的特质。不过,通过采取一个仔细规划的、多层次的VoIP网络防护措施,企业就可以让VoIP网络的安全程度赶上甚至是超过传统的电话系统。
免责声明: 凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
