VoIP指的是在使用了互聯網協議的網絡上進行語音傳輸,其中的IP是代表互聯網協議,它是互聯網的中樞,互聯網協議可以將電子郵件、即時信息以及網頁傳輸到成千上萬的PC或者手機上。有人說它是電信殺手,也有人說它是國際事務中的革命性因素??傊蹬跎醵唷5?,也許在你使用這項服務的時候,也許正有一位黑客竊取你的個人信息甚至搞毀你的網絡。
所有影響數據網絡的攻擊都可能會影響到VoIP網絡,如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽、數據嗅探等。唯一的不同是,我們更樂于采取一些措施來保護其它的網絡。對于VoIP,卻鮮有什么具體措施。事實上,只有我們采取一些保護措施,這項技術才可能取得真正的成功。
下面探討25種可以保護VoIP的方法:
1、限制所有的VoIP數據只能傳輸到一個VLAN上
Cisco建議對語音和數據分別劃分VLAN,這樣有助于按照優先次序來處理語音和數據。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計算機形成了一個有效的封閉的圈子,它不允許任何其它計算機訪問其設備,從而也就避免了電腦的攻擊,VoIP網絡也就相當安全;即使受到攻擊,也會將損失降到最低。
2、監控并跟蹤VoIP網絡的通信模式
監控工具和入侵探測系統能幫助用戶識別那些侵入VoIP網絡的企圖。詳細觀察VoIP日志可以幫助發現一些不規則的東西,如莫名其妙的國際電話或是本公司或組織基本不聯系的國際電話,多重登錄試圖破解密碼,語音暴增等。
3、保護VoIP服務器
必須采取效措施來保障服務器的安全以抵御來自內部或外部的入侵者用嗅探技術來截獲數據。因為 VoIP電話機擁有固定的IP地址和MAC地址,所以攻擊者易于據此潛入。建議用戶限制IP和MAC地址,不允許隨便訪問VoIP系統的超級用戶界面,并在SIP網關之前建立另一道防火墻,這樣就會在一定程度上限制對于網絡系統的侵入。
4、使用多重加密
僅僅對發送的數據包加密是遠遠不夠的,必須對所有的電話信號進行加密。對話音加密會防止攔截者的語音插入到用戶會話中。在這方面,SRTP協議能夠對端點通信加密,TLS能夠對整個通信過程加密。應該通過在網關、網絡、主機層面上提供強大的保護來支持語音傳輸加密。
5、建立VoIP網絡的冗余機制
要時刻準備著可能會遭到病毒、DoS攻擊,它們可能會導致網絡系統癱瘓。構建能夠設置多層節點、網關、服務器、電源及呼叫路由器的網絡系統,并與不只一個供應商互聯。經常性的對各個網絡系統進行考驗,確保其工作良好,當主服務網絡癱瘓時,備用設施可以迅速接管工作。
6、將設備置于防火墻之后
建立分離的防火墻,這樣通過VLAN邊界的通信僅限于可用的協議。萬一客戶端受到感染的話,這會防止病毒、木馬擴散到服務器。建立分離的防火墻后,系統安全策略的維護也會變得簡單。當需要時,必須正確配置防火墻以便開放或關閉某些端口。
7、定期更新補丁
VoIP網絡的安全性,既依賴于底層的操作系統又依賴于運行其上的應用軟件。保持操作系統及VoIP應用軟件補丁及時更新對于防御惡意程序或傳染性程序代碼是非常重要的。
8、將內部網絡與Internet分開
將電話管理系統與網絡系統置于國際互聯網絡直接訪問之外是一個不錯的選擇,將語音服務與其它服務器置于相分離的域中,并限制對其訪問。
9、將軟終端電話(softphone)的使用減至最少
VoIP軟終端電話易于遭受電腦黑客攻擊,即使它位于公司防火墻之后,因為這種東西是與普通的PC、VoIP軟件及一對耳機一起使用的。而且,軟終端電話并沒有將語音和數據分開,因此,易于受到病毒和蠕蟲的攻擊。
10、定期進行安全審查
對于超級用戶和一般用戶的活動進行檢查可以發現一些問題。一些"釣魚"企圖可以被阻止,垃圾信息可以被過濾,入侵者也可以被阻斷。
11、對于實際安全性進行評估
要確信只有經過鑒別的設備和用戶,才可以訪問那些經過限制的以太網端口。管理員常常被欺騙,接授那些沒有經過允許的軟終端電話的請求,因為黑客們能夠通過插入RJ44端口輕易地模仿IP地址和MAC地址。
12、使用提供數字安全證書的商家
如果IP電話商能夠提供證明書來對設備進行認證,用戶基本上可以確信其通信是安全的,并且不會廣播到其它設備。
13、確保網關的安全
要配置網關,使那些只有經過允許的用戶才可以打出或接收VoIP電話,列示那些經過鑒別和核準的用戶,這可以確保其它人不能占線打免費電話。通過SPI防火墻、應用層網關、網絡地址轉換工具、SIP對VoIP軟客戶端的支持等的組合,來保護網關和位于其后的局域網。
14、分別管理服務器
VoIP電話服務器常常是攻擊者的靶子,因為它們是任何一個VoIP網絡的心臟。服務器的一些內在的致命弱點包括其操作系統、服務及它所支持的應用軟件。要將黑客對服務器的攻擊降至最小程度,就要對VoIP傳輸信號的不同服務器分別進行管理。
15、對SIP(會話初始協議)通信進行排序
徹底檢查網絡SIP通信,檢查那些不正常的信息包及通信模式,這些措施有助于切斷那些非常短小的虛假會話。SIP信號中的語法和語義的異常、不規則事件、順序錯亂會指明攻擊正在或將要開始。
16、檢查應用層的呼叫設置請求
VoIP 電話易于被外部的那些可以訪問網絡的人劫持,管理員需要設置安全策略,這樣,只有呼叫請求與已有策略一致時才可以被接受。
17、隔離語音通信
對于外部通信來說,要依靠虛擬私有網絡(VPN)。分離語音與數據通信以阻止那些竊聽用戶談話的企圖。思科有關專家建議,要阻止PC端口訪問語音VLAN。
18、使用代理服務器
通過使用代理服務器來處理進出網絡的數據,借以保護用戶的網絡。
19、只運行需要提供和維持VoIP服務的應用軟件
事實上,VoIP應用軟件使用加密的數據,也可能招致DoS攻擊。攻擊者可以隱藏在加密的掩護之后來避免其活動遭到監視。思科專家認為,信號在用戶代理和SIP代理之間傳輸時,要通過集成SSL通道和SIP代理的方法確保認證完整性。
20、配置應用程序防止濫用或誤用
通過準備一個被允許呼叫的目的地列表,來防止網絡被濫用于長途電話、"釣魚"欺詐和非法電話。
21、增加端點安全層
使用網絡準入技術和IEEE 802.1X基于端口網絡訪問控制(NAC),將那些沒有經過LAN或WLAN授權的設備排除在外。NAC應用程序有思科的NAC,微軟的NAP,還有TCG的TNC等。
22、根據某種標準限制訪問
VoIP網絡管理員可以建立嚴格的準入標準,防止用戶訪問具有潛在危險的設備,當這些設備被發現感染了病毒或蠕蟲時,或沒有打上最新的補丁,或沒有安裝適當的防火墻,都使系統潛藏著危險。這些設備可以被定向到完全不同的網絡,并將危險傳入到要害網絡。
23、避免遠程管理
如果可能,最好避免使用遠程管理和審計,但若是需要的話,可使用SSH或IPsec來保證安全。可從一個物理上安全的服務器訪問你的IP PBX。
24、使用IPsec隧道而非IPsec傳輸加密
隧道和傳輸加密是兩種不同的加密模式,都支持IP層的數據包交換。使用IPsec傳輸加密只對數據進行加密,并隱藏源IP地址和目標IP地址。這會防止管理員在分析數據通信時找出是誰初始化了會話。
25、保障VoIP平臺的安全
支持客戶端的VoIP平臺建立在操作系統基礎之上,操作系統就"加固",用以保護網絡的完整性并將網絡攻擊阻擋在網絡之外。禁用那些非必要的服務,并使用基于主機的檢測方法。
保障VoIP網絡的安全是一項艱巨的任務,特別是考慮到缺少適當的標準和程序的情況下。一個網絡安全性依賴于硬件和軟件的正確選擇。毫無疑問,如果采取了恰當的措施,VoIP通信比普通的PSTN交互可以做得更安全、更可靠。因此讓我們行動起來,對我們的網絡做出今人刮目相看的改變吧。
參考文章:《VoIP Security Challenges: 25 Ways to Secure your VoIP Network》