如何防範VOIP安全性漏洞
來源:互聯網
上載者:User
關鍵字
安全
VOIP
VoIP存在很多安全隱患,面臨很多安全威脅,但是這不是說VoIP的安全性就不可救藥,實際上隨著安全事件的屢次發生,眾多VoIP廠商也在不斷的實踐中積累著經驗,通過一些措施來更大限度的保障VoIP的安全。 但提高VoIP的安全性要雙管齊下,除了VoIP廠商要摒棄VoIP安全是一個額外產品的觀念,將安全技術一併根植于VoIP產品本身外;對於VoIP消費者而言,要充分意識到, VoIP設備的安全直接影響著整個企業基礎網路的安全, 作為管理者不要認為採用VoIP產品僅僅是添加了一部網路電話,如果不做好完備的防護措施,它很有可能將成為駭客輕鬆進入企業內網的一扇門,因此企業應選用來自IT或資料部門的專業人士來管理IP通訊系統,而並非原有的語音部門, 這些人必須比管理傳統PBX的專業人員更謹慎小心。 可以看出VoIP面臨的安全問題實際上大部分是IP網路所面臨的問題。 因此常規的安全措施是首先要保證的,另外VoIP應用的特殊性使其需要特殊的措施來加強安全性,下面筆者推薦幾種防範小措施。 這幾個措施可能並沒有使用什麼高深的技術,但採取這幾種措施之後可能會説明你的網路堵住VoIP大漏洞。 VoIP統一到一個VLAN中 便於設置QoS策略 筆者見到很多使用者部署VoIP時,往往採用VoIP和一般性資料混合在一個網路之中。 這種部署方式的最大軟肋在於,因VoIP對頻寬以及QoS的需求與一般資料並不相同,將直接導致交換、路由器以及網路上諸多安全設備的傳輸效能大大降低。 將VoIP資料與一般性資料進行甄別之後,分開傳輸無疑是最恰當的方法。 而這一方法也是思科等VoIP設備供應商們的推薦方法之一。 具體方法是,將語音和資料劃分到不同的虛擬區域網路(VLAN)中分開,讓語音和資料在不同的虛擬區域網路上傳輸;將VoIP統一到同一個VLAN中,在同一VLAN中傳輸的資料對服務品質(QoS)要求相同, 可以簡化服務品質(QoS)設置。 QoS設置簡化後,使用者只需為VoIP虛擬區域網路賦予優先順序即可。 有一點需要注意,當VoIP如果要通過路由器進行傳輸,仍需要第三層服務品質。 這種方法帶來直接的好處是,兩者分開還可以將語音網路從資料VLAN中隱藏起來,可以有效地解決資料欺騙、DoS攻擊等,因此沒有了可能會發起攻擊的電腦,你的VoIP網路就會安全很多。 加固你的VoIP伺服器防範竊聽 實際上,將VoIP信號統一到同一個VLAN中,除了上述優點之外,還可以大大降低竊聽電話現象的發生。 如果語音包被人用分析儀獲取,重放語音就輕而易舉。 虛擬區域網路可以阻止有人從外面發動攻擊。 俗話說"家賊難防",上述方法只能防範外部網路電話的竊聽行為,對內部攻擊卻難以預防。 因為內部人員只要將任意一個終端設備接入網路之中,進行適當配置,披上偽裝成為VoIP虛擬區域網路的一部分,就可以任意竊聽。 要防止這種破壞,最好的辦法就是購買具有增強式加密功能的VoIP電話,而這種方法要奏效,每只電話都要有加密功能。 這種防範方法造價高,其保密效果到底能提升到何種程度,都很難說。 另外一種更為直接有效的方法是"釜底抽薪"。 也就是將VoIP伺服器從物理上杜絕內部和外部攻擊者,以避免別有用心者利用攔截技術來截取VoIP資訊。 具體方法是,鎖定能夠訪問VoIP管理介面的IP位址和MAC位址,同時在SIP閘道前放置防火牆,以達到只允許合法使用者才可以進入相關VoIP系統。 譬如說,Ingate公司的防火牆就是為基於SIP的VoIP系統而設計。 Ingate最近宣佈,如今其產品已通過了認證,能夠與Avaya公司的基於SIP的產品協同工作。 確保你實施的VoIP系統基於SIP,那樣以後需要安全選項功能時不至於只能求助於你現有的VoIP廠商。 有些使用者不僅使用防火牆,還對相關的VoIP資料包進行加密。 然而你可知道,僅僅加密發送出去的資料是不夠的,還必須加密所有呼叫符號。 加密語音資料包可以防止語音插入。 例如可以通過即時安全協定(SRTP)來加密節點之間的通信,通過TLS來加密整個過程。 監視跟蹤、網路冗余等手段抵禦DoS攻擊 竊取VoIP帳號是駭客借助VoIP網路偽裝成合法客戶,進入商業網路最常用的方法之一。 為了竊取帳號,駭客可以說是不擇手段,甚至是採用暴力破解方法來攻擊某一個帳號的密碼,試圖破解控制它。 這勢必會引起網路流量驟增,引發DoS攻擊幾率大大增加。 通過部署合適的監視工具和入侵偵測系統,可以説明你發現試圖攻入你的VoIP網路的各種嘗試。 通過仔細觀察這些工具所記錄下來的日誌,有助於你及時發現各種資料流量的異常狀況,從而可以發現是否有人試圖使用暴力破解帳號進入網路。 不得不承認,無論你的防範多麼嚴密,總會有攻擊的發生,因此請做好準備應對DoS攻擊或病毒導致網路癱瘓,其中一個辦法就是增加冗余設計,一旦現在運行著的系統遭受攻擊或出現意外,可以自動切換到另一套設備上,這樣可以最大限度地減少損失,為你發現並解決問題提供充裕的時間。 VoIP網路的安全性很大程度上取決於網路內設備的作業系統和運行在其上的各種應用。 及時維護作業系統和VoIP應用系統的補丁,對於防範來自惡意軟體或病毒的威脅是非常重要的。 事實上,很多攻擊都是利用了系統的漏洞。 這一點與IP網路的安全防禦是一致的。 制定一個計畫,把自己的角色轉換成一個駭客的身份,那麼嘗試用各種辦法來攻擊你的VoIP系統吧,儘管找不到攻擊入口並不代表你的VoIP系統就是安全的,但是如果能找到入口,那麼別人也可以,趕快採取辦法來堵住這個漏洞。 加固VoIP網路的辦法絕不僅如此,本文只撿一些必要的幾點進行介紹。 然而這並不是最重要的,比這更重要的是,我們要正確面對VoIP存在的安全問題,既要承認它的存在,又要相信通過合理、良好的設計和良好的安全習慣,我們可以把其安全風險控制在可以接受的範圍之內。 【責任編輯:趙毅 TEL:(010)68476636-8001】 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文:如何防範VOIP安全性漏洞 返回網路安全首頁
