所有影响数据网络的攻击都可能会影响到VoIP网络,如病毒、垃圾邮件、非法侵入、DoS、劫持电话、偷听、数据嗅探等。唯一的不同是,我们更乐于采取一些措施来保护其它的网络。对于VoIP,却鲜有什么具体措施。事实上,只有我们采取一些保护措施,这项技术才可能取得真正的成功。
下面探讨25种可以保护VoIP的方法:
1、限制所有的VoIP数据只能传输到一个VLAN上
Cisco建议对语音和数据分别划分VLAN,这样有助于按照优先次序来处理语音和数据。划分VLAN也有助于防御费用欺诈、DoS攻击、窃听、劫持通信等。VLAN的划分使用户的计算机形成了一个有效的封闭的圈子,它不允许任何其它计算机访问其设备,从而也就避免了电脑的攻击,VoIP网络也就相当安全;即使受到攻击,也会将损失降到最低。
2、监控并跟踪VoIP网络的通信模式
监控工具和入侵探测系统能帮助用户识别那些侵入VoIP网络的企图。详细观察VoIP日志可以帮助发现一些不规则的东西,如莫名其妙的国际电话或是本公司或组织基本不联系的国际电话,多重登录试图破解密码,语音暴增等。
3、保护VoIP服务器
必须采取效措施来保障服务器的安全以抵御来自内部或外部的入侵者用嗅探技术来截获数据。因为 VoIP电话机拥有固定的IP地址和MAC地址,所以攻击者易于据此潜入。建议用户限制IP和MAC地址,不允许随便访问VoIP系统的超级用户界面,并在SIP网关之前建立另一道防火墙,这样就会在一定程度上限制对于网络系统的侵入。
4、使用多重加密
仅仅对发送的数据包加密是远远不够的,必须对所有的电话信号进行加密。对话音加密会防止拦截者的语音插入到用户会话中。在这方面,SRTP协议能够对端点通信加密,TLS能够对整个通信过程加密。应该通过在网关、网络、主机层面上提供强大的保护来支持语音传输加密。
5、建立VoIP网络的冗余机制
要时刻准备着可能会遭到病毒、DoS攻击,它们可能会导致网络系统瘫痪。构建能够设置多层节点、网关、服务器、电源及呼叫路由器的网络系统,并与不只一个供应商互联。经常性的对各个网络系统进行考验,确保其工作良好,当主服务网络瘫痪时,备用设施可以迅速接管工作。
6、将设备置于防火墙之后
建立分离的防火墙,这样通过VLAN边界的通信仅限于可用的协议。万一客户端受到感染的话,这会防止病毒、木马扩散到服务器。建立分离的防火墙后,系统安全策略的维护也会变得简单。当需要时,必须正确配置防火墙以便开放或关闭某些端口。
7、定期更新补丁
VoIP网络的安全性,既依赖于底层的操作系统又依赖于运行其上的应用软件。保持操作系统及VoIP应用软件补丁及时更新对于防御恶意程序或传染性程序代码是非常重要的。
8、将内部网络与Internet分开
将电话管理系统与网络系统置于国际互联网络直接访问之外是一个不错的选择,将语音服务与其它服务器置于相分离的域中,并限制对其访问。
9、将软终端电话(softphone)的使用减至最少
VoIP软终端电话易于遭受电脑黑客攻击,即使它位于公司防火墙之后,因为这种东西是与普通的PC、VoIP软件及一对耳机一起使用的。而且,软终端电话并没有将语音和数据分开,因此,易于受到病毒和蠕虫的攻击。
10、定期进行安全审查
对于超级用户和一般用户的活动进行检查可以发现一些问题。一些"钓鱼"企图可以被阻止,垃圾信息可以被过滤,入侵者也可以被阻断。
11、对于实际安全性进行评估
要确信只有经过鉴别的设备和用户,才可以访问那些经过限制的以太网端口。管理员常常被欺骗,接授那些没有经过允许的软终端电话的请求,因为黑客们能够通过插入RJ44端口轻易地模仿IP地址和MAC地址。
12、使用提供数字安全证书的商家
如果IP电话商能够提供证明书来对设备进行认证,用户基本上可以确信其通信是安全的,并且不会广播到其它设备。
13、确保网关的安全
要配置网关,使那些只有经过允许的用户才可以打出或接收VoIP电话,列示那些经过鉴别和核准的用户,这可以确保其它人不能占线打免费电话。通过SPI防火墙、应用层网关、网络地址转换工具、SIP对VoIP软客户端的支持等的组合,来保护网关和位于其后的局域网。
14、分别管理服务器
VoIP电话服务器常常是攻击者的靶子,因为它们是任何一个VoIP网络的心脏。服务器的一些内在的致命弱点包括其操作系统、服务及它所支持的应用软件。要将黑客对服务器的攻击降至最小程度,就要对VoIP传输信号的不同服务器分别进行管理。
15、对SIP(会话初始协议)通信进行排序
彻底检查网络SIP通信,检查那些不正常的信息包及通信模式,这些措施有助于切断那些非常短小的虚假会话。SIP信号中的语法和语义的异常、不规则事件、顺序错乱会指明攻击正在或将要开始。
16、检查应用层的呼叫设置请求
VoIP 电话易于被外部的那些可以访问网络的人劫持,管理员需要设置安全策略,这样,只有呼叫请求与已有策略一致时才可以被接受。
17、隔离语音通信
对于外部通信来说,要依靠虚拟私有网络(VPN)。分离语音与数据通信以阻止那些窃听用户谈话的企图。思科有关专家建议,要阻止PC端口访问语音VLAN。
18、使用代理服务器
通过使用代理服务器来处理进出网络的数据,借以保护用户的网络。
19、只运行需要提供和维持VoIP服务的应用软件
事实上,VoIP应用软件使用加密的数据,也可能招致DoS攻击。攻击者可以隐藏在加密的掩护之后来避免其活动遭到监视。思科专家认为,信号在用户代理和SIP代理之间传输时,要通过集成SSL通道和SIP代理的方法确保认证完整性。
20、配置应用程序防止滥用或误用
通过准备一个被允许呼叫的目的地列表,来防止网络被滥用于长途电话、"钓鱼"欺诈和非法电话。
21、增加端点安全层
使用网络准入技术和IEEE 802.1X基于端口网络访问控制(NAC),将那些没有经过LAN或WLAN授权的设备排除在外。NAC应用程序有思科的NAC,微软的NAP,还有TCG的TNC等。
22、根据某种标准限制访问
VoIP网络管理员可以建立严格的准入标准,防止用户访问具有潜在危险的设备,当这些设备被发现感染了病毒或蠕虫时,或没有打上最新的补丁,或没有安装适当的防火墙,都使系统潜藏着危险。这些设备可以被定向到完全不同的网络,并将危险传入到要害网络。
23、避免远程管理
如果可能,最好避免使用远程管理和审计,但若是需要的话,可使用SSH或IPsec来保证安全。可从一个物理上安全的服务器访问你的IP PBX。
24、使用IPsec隧道而非IPsec传输加密
隧道和传输加密是两种不同的加密模式,都支持IP层的数据包交换。使用IPsec传输加密只对数据进行加密,并隐藏源IP地址和目标IP地址。这会防止管理员在分析数据通信时找出是谁初始化了会话。
25、保障VoIP平台的安全
支持客户端的VoIP平台建立在操作系统基础之上,操作系统就"加固",用以保护网络的完整性并将网络攻击阻挡在网络之外。禁用那些非必要的服务,并使用基于主机的检测方法。
保障VoIP网络的安全是一项艰巨的任务,特别是考虑到缺少适当的标准和程序的情况下。一个网络安全性依赖于硬件和软件的正确选择。毫无疑问,如果采取了恰当的措施,VoIP通信比普通的PSTN交互可以做得更安全、更可靠。因此让我们行动起来,对我们的网络做出今人刮目相看的改变吧。
