當選擇VOIP解決方案或者網關的時候,確保你選擇的解決方案能夠支持H.323協議
網絡
建設一個安全的VOIP網絡需要深入研究VOIP硬件和軟件,這樣才能使VOIP網絡本身有實現協調的可能性。為了操作的簡便性,將VOIP網絡分配進入其孤立的網絡要容易得多,只將網絡的組件連接到合適的公司數據網絡,并且通過一定的安全方式(如應用層防火墻)。這是為了確保VOIP網絡中的任何軟點都不會輕易被利用,并且嚴格的訪問控制機制能夠管理你的企業局域網和VOIP網絡間的通信流量。
網絡網絡對于網絡虛擬專用網而言是必不可少的,能夠確保網絡通信流量的安全性,而且能夠保持其完整性。
無線
在討論安全問題時,大家總會把目光投到無線,VOIP無線加密是強制性的,而且如果不是強制性的也會需要一個妥協來作為保障。在保護無線網絡安全問題上,IPSec是一個很好的對策,目前有一些正在運行的項目主要就是在研究VOIP安全問題,如Phil Zimmermann公司的zfone項目。
設備
設備和服務器都需要保持物理上的安全,以確保其不被擅自使用。邏輯上的安全同樣也很重要,因為現在解決方案已經開始適用于遠程操控。電話賬戶與任何其他賬戶一樣都是一種資源,我們已經聽說過很多關于賬戶如何通過遠程操控被濫用的故事。因為統一身份管理的重要性,你需要確保你的用戶能夠像安全政策(行政控制)中所描述的一樣定期更改他們的密碼。
最近英國電視節目中報道了盜賊如何對辦公電話進行遠程修改,從而偷竊用戶的身份驗證憑證。
另一種較常見的攻擊是,通過模擬服務器來獲取用戶的身份驗證憑證,一旦發生這種情況,用戶將會被重定位直合法的服務器, 解決這種攻擊的對策是要保持合法服務器物理上的安全以及邏輯上的安全,而且用戶在進行身份驗證前需要對用戶或者客戶端軟件進行驗證。
通訊和存儲
對于任何VOIP解決方案,通訊和存儲經常是被忽視的組成部分。前幾年常見這樣一種攻擊方式,就是通過在默認網絡密碼框中輸入1234或者0000來遠程登錄到某人的語音郵箱。這樣使你能夠訪問語音郵箱,但是事實上控制的要素可能將這一功能設置為允許遠程控制,對策就是在該服務使用前強行更改密碼,這樣能夠確保該服務的安全運行。存儲也可能受到攻擊,這會使解決方案變得很容易攻擊,應該從物理上以及邏輯上保護存儲,需要部署有效的措施來避免任何攻擊。
總結
在考慮VOIP安全解決方案時,應該要遵守現有的標準,VOIP技術仍然在不斷發展,安全仍然需要不斷完善,并且安全還不是解決方案的組成部分。如果VOIP解決方案被合理地部署在網絡,最終結果是將會出現一個更加安全更加可靠有效費用更加合理的解決方案。
京公網安備 11010502049343號