層層設防保護VoIP安全　抵禦隔牆之耳入侵

即使在VoIP技術廣泛應用的今天，VoIP的安全性仍屢遭質疑。 英國安全專家、防火牆公司Borderware創辦人之一Peter Cox就在近日公開宣稱，基於網路的VoIP電話極不安全，容易給駭客造成可乘之機。 為了證實這個觀點，他研發了可以竊聽VoIP網路電話的「概念證實」（Proof—of—Concept）型軟體SIPtap。 該軟體利用一個安裝在公司網路上的特洛伊木馬軟體，成功對VoIP網路進行監聽，並可以生成尾碼為「． wav」的檔供駭客隨後在互聯網上傳播使用。 VoIP成為無論專家還是駭客攻擊的靶子並非偶然。 作為一種在網路上應用的IP技術，與Web和電子郵件等IP應用一樣，VoIP技術存在特有的威脅和風險。 這些威脅和漏洞包括所有IP網路層面的威脅、VoIP協定和應用的威脅以及與內容有關的威脅等。 就如同裸露的皮膚最容易受傷，解決辦法就是給你的VoIP多穿幾層鎧甲——採取多層次安全機制，在潛在入侵者的攻擊路線上盡可能多地設置各種障礙。 建立一個安全的VoIP網路，首先要將其從資料網路中獨立出來。 要將虛擬區域網路（VLAN）上的VoIP話機設為非路由的位址，然後禁止連接互聯網的電腦與VoIP之間有任何交流，還要使用存取控制清單（Access Control Lists）來阻止VLAN之間的通訊。 而且，需要一個特別設計的防火牆，能識別和分析VoIP協定，對VoIP的資料包進行深度檢查，並能分析VoIP的有效載荷，以便發現任何與攻擊有關的行為。 還要在幾個層次上設置障礙，包括保護好VoIP閘道，鎖閉網路實體層，用IPSec加密，用TLS鎖定工作階段層和用SRTP來對應用層的介質進行加密。 閘道是資料進出VoIP網路的關鍵點，它會同時連接不同的網路，如IP網路和公共電話交換網（PSTN）。 在閘道上使用授權機制和存取控制，以便控制可通過VoIP系統撥打和接聽的電話，以及設定可以執行管理工作的不同人員許可權等。 對一個語音網路而言，限制對介質訪問以及對VoIP伺服器和端點訪問非常重要。 要達到限制對介質訪問或對VoIP伺服器和端點訪問的目的，首先對所有呼叫伺服器以及與伺服器有關的接觸進行控制；然後限制對終端的接觸，並將線纜埋設在牆體中的管道裡以保證它們自身的安全；最後還要謹慎選擇無線AP的位置， 限制無線交流，限制信號強度，使用遮罩材料將無線信號儘量阻擋在建築物之內。 用IPSec加密來保護網路中的VoIP資料，能保證即使攻擊者穿越實體層防護措施截獲了VoIP資料包，也無法破譯其中的內容。 TLS使用的是數位簽章和公共金鑰加密，這意味著每一個端點都必須有一個可信任的、由權威CA認證的簽名。 也可以通過一個內部CA（如一台運行了認證服務的Windows伺服器）來進行企業內部的通話，並經由一個公共CA來進行公司之外的通話。 用SRTP來對應用層的介質進行加密，可以提供資訊認證、機密性、重播保護等安全機制。 VoIP安全保護偏方 無論VoIP網路防範多麼嚴密，攻擊不可避免會發生。 因此，有必要通過部署合適的監視工具和入侵偵測系統，發現試圖攻入VoIP網路的各種嘗試。 通過仔細觀察這些工具所記錄下來的日誌，有助於及時發現各種資料流量的異常狀況，從而發現是否有人通過暴力破解帳號的方式進入網路。 與此同時，及時維護作業系統和VoIP應用系統的補丁，對於防範來自惡意軟體或病毒的威脅是非常重要的。 還有一個點子可能會有説明，那就是制定一個計畫，把你自己假想成一個駭客高手，然後嘗試用各種辦法來攻擊你的VoIP系統。 沒有找到攻擊入口，並不代表你的VoIP系統是安全的。 但是如果你能找到入口，那麼別人也可以，那就趕快堵住這個漏洞吧！ 【相關文章】網路內容安全新威脅 VoIP成安全隱患專題：VoIP安全性探討【責任編輯：于捷 TEL：（010）68476606】 原文：層層設防保護VoIP安全　抵禦隔牆之耳入侵 返回網路安全首頁