《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 確保VoIP網(wǎng)絡(luò)安全的十三種方法
確保VoIP網(wǎng)絡(luò)安全的十三種方法
摘要: VoIP指的是在使用了互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡(luò)上進(jìn)行語音傳輸,其中的IP是代表互聯(lián)網(wǎng)協(xié)議,,它是互聯(lián)網(wǎng)的中樞,,互聯(lián)網(wǎng)協(xié)議可以將電子郵件、即時信息以及網(wǎng)頁傳輸?shù)匠汕先f的PC或者手機(jī)上,。有人說它是電信殺手,,也有人說它是國際事務(wù)中的革命性因素??傊蹬跎醵?。但是,也許在你使用這項(xiàng)服務(wù)的時候,,也許正有一位黑客竊取你的個人信息甚至搞毀你的網(wǎng)絡(luò),。
Abstract:
Key words :

VoIP指的是在使用了互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡(luò)上進(jìn)行語音傳輸,其中的IP是代表互聯(lián)網(wǎng)協(xié)議,,它是互聯(lián)網(wǎng)的中樞,,互聯(lián)網(wǎng)協(xié)議可以將電子郵件、即時信息以及網(wǎng)頁傳輸?shù)匠汕先f的PC或者手機(jī)上,。有人說它是電信殺手,,也有人說它是國際事務(wù)中的革命性因素。總之吹捧甚多,。但是,,也許在你使用這項(xiàng)服務(wù)的時候,也許正有一位黑客竊取你的個人信息甚至搞毀你的網(wǎng)絡(luò),。

所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會影響到VoIP網(wǎng)絡(luò),,如病毒、垃圾郵件,、非法侵入,、DoS、劫持電話,、偷聽,、數(shù)據(jù)嗅探等。唯一的不同是,,我們更樂于采取一些措施來保護(hù)其它的網(wǎng)絡(luò),。對于VoIP,卻鮮有什么具體措施,。事實(shí)上,,只有我們采取一些保護(hù)措施,這項(xiàng)技術(shù)才可能取得真正的成功,。

下面探討可以保護(hù)VoIP的方法:

1,、限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€VLAN上

Cisco建議對語音和數(shù)據(jù)分別劃分VLAN,這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù),。劃分VLAN也有助于防御費(fèi)用欺詐,、DoS攻擊、竊聽,、劫持通信等,。VLAN的劃分使用戶的計算機(jī)形成了一個有效的封閉的圈子,它不允許任何其它計算機(jī)訪問其設(shè)備,,從而也就避免了電腦的攻擊,,VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊,也會將損失降到最低,。

2,、監(jiān)控并跟蹤VoIP網(wǎng)絡(luò)的通信模式

監(jiān)控工具和入侵探測系統(tǒng)能幫助用戶識別那些侵入VoIP網(wǎng)絡(luò)的企圖。詳細(xì)觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西,,如莫名其妙的國際電話或是本公司或組織基本不聯(lián)系的國際電話,,多重登錄試圖破解密碼,語音暴增等,。

3,、保護(hù)VoIP服務(wù)器

必須采取效措施來保障服務(wù)器的安全以抵御來自內(nèi)部或外部的入侵者用嗅探技術(shù)來截獲數(shù)據(jù),。因?yàn)閂oIP電話機(jī)擁有固定的IP地址和MAC地址,所以攻擊者易于據(jù)此潛入,。建議用戶限制IP和MAC地址,,不允許隨便訪問VoIP系統(tǒng)的超級用戶界面,并在SIP網(wǎng)關(guān)之前建立另一道防火墻,,這樣就會在一定程度上限制對于網(wǎng)絡(luò)系統(tǒng)的侵入,。

4、使用多重加密

僅僅對發(fā)送的數(shù)據(jù)包加密是遠(yuǎn)遠(yuǎn)不夠的,,必須對所有的電話信號進(jìn)行加密,。對話音加密會防止攔截者的語音插入到用戶會話中。在這方面,,SRTP協(xié)議能夠?qū)Χ它c(diǎn)通信加密,,TLS能夠?qū)φ麄€通信過程加密。應(yīng)該通過在網(wǎng)關(guān),、網(wǎng)絡(luò),、主機(jī)層面上提供強(qiáng)大的保護(hù)來支持語音傳輸加密。

5,、建立VoIP網(wǎng)絡(luò)的冗余機(jī)制

要時刻準(zhǔn)備著可能會遭到病毒,、DoS攻擊,它們可能會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓,。構(gòu)建能夠設(shè)置多層節(jié)點(diǎn),、網(wǎng)關(guān)、服務(wù)器,、電源及呼叫路由器的網(wǎng)絡(luò)系統(tǒng),,并與不只一個供應(yīng)商互聯(lián)。經(jīng)常性的對各個網(wǎng)絡(luò)系統(tǒng)進(jìn)行考驗(yàn),,確保其工作良好,當(dāng)主服務(wù)網(wǎng)絡(luò)癱瘓時,,備用設(shè)施可以迅速接管工作,。

6、將設(shè)備置于防火墻之后

建立分離的防火墻,,這樣通過VLAN邊界的通信僅限于可用的協(xié)議,。

萬一客戶端受到感染的話,這會防止病毒,、木馬擴(kuò)散到服務(wù)器,。建立分離的防火墻后,系統(tǒng)安全策略的維護(hù)也會變得簡單,。當(dāng)需要時,,必須正確配置防火墻以便開放或關(guān)閉某些端口。

7、定期更新補(bǔ)丁

VoIP網(wǎng)絡(luò)的安全性,,既依賴于底層的操作系統(tǒng)又依賴于運(yùn)行其上的應(yīng)用軟件,。保持操作系統(tǒng)及VoIP應(yīng)用軟件補(bǔ)丁及時更新對于防御惡意程序或傳染性程序代碼是非常重要的。

8,、將內(nèi)部網(wǎng)絡(luò)與Internet分開

將電話管理系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)置于國際互聯(lián)網(wǎng)絡(luò)直接訪問之外是一個不錯的選擇,,將語音服務(wù)與其它服務(wù)器置于相分離的域中,并限制對其訪問,。

9,、將軟終端電話(softphone)的使用減至最少

VoIP軟終端電話易于遭受電腦黑客攻擊,即使它位于公司防火墻之后,,因?yàn)檫@種東西是與普通的PC,、VoIP軟件及一對耳機(jī)一起使用的。而且,,軟終端電話并沒有將語音和數(shù)據(jù)分開,,因此,易于受到病毒和蠕蟲的攻擊,。

10,、定期進(jìn)行安全審查

對于超級用戶和一般用戶的活動進(jìn)行檢查可以發(fā)現(xiàn)一些問題。一些”釣魚”企圖可以被阻止,,垃圾信息可以被過濾,,入侵者也可以被阻斷。

11,、對于實(shí)際安全性進(jìn)行評估

要確信只有經(jīng)過鑒別的設(shè)備和用戶,,才可以訪問那些經(jīng)過限制的以太網(wǎng)端口。管理員常常被欺騙,,接授那些沒有經(jīng)過允許的軟終端電話的請求,,因?yàn)楹诳蛡兡軌蛲ㄟ^插入RJ44端口輕易地模仿IP地址和MAC地址。

12,、使用提供數(shù)字安全證書的商家

如果IP電話商能夠提供證明書來對設(shè)備進(jìn)行認(rèn)證,,用戶基本上可以確信其通信是安全的,并且不會廣播到其它設(shè)備,。

13,、確保網(wǎng)關(guān)的安全

要配置網(wǎng)關(guān),使那些只有經(jīng)過允許的用戶才可以打出或接收VoIP電話,,列示那些經(jīng)過鑒別和核準(zhǔn)的用戶,,這可以確保其它人不能占線打免費(fèi)電話。通過SPI防火墻,、應(yīng)用層網(wǎng)關(guān),、網(wǎng)絡(luò)地址轉(zhuǎn)換工具,、SIP對VoIP軟客戶端的支持等的組合,來保護(hù)網(wǎng)關(guān)和位于其后的局域網(wǎng),。
 

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。