打造VoIP的網(wǎng)絡安全幾招

申請免費試用、咨詢電話：400-8352-114

VoIP指的是在使用了互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡上進行語音傳輸，其中的IP是代表互聯(lián)網(wǎng)協(xié)議，它是互聯(lián)網(wǎng)的中樞，互聯(lián)網(wǎng)協(xié)議可以將電子郵件、即時信息以及網(wǎng)頁傳輸?shù)匠汕先f的PC或者手機上。有人說它是電信殺手,也有人說它是國際事務中的革命性因素。總之吹捧甚多。但是，也許在你使用這項服務的時候，也許正有一位黑客竊取你的個人信息甚至搞毀你的網(wǎng)絡。

所有影響數(shù)據(jù)網(wǎng)絡的攻擊都可能會影響到VoIP網(wǎng)絡,如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽、數(shù)據(jù)嗅探等。唯一的不同是，我們更樂于采取一些措施來保護其它的網(wǎng)絡。對于VoIP，卻鮮有什么具體措施。事實上，只有我們采取一些保護措施，這項技術(shù)才可能取得真正的成功。

下面探討幾種可以保護VoIP的方法：

1、限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€VLAN上

Cisco建議對語音和數(shù)據(jù)分別劃分VLAN，這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù)。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計算機形成了一個有效的封閉的圈子，它不允許任何其它計算機訪問其設備，從而也就避免了電腦的攻擊，VoIP網(wǎng)絡也就相當安全;即使受到攻擊，也會將損失降到最低。

2、監(jiān)控并跟蹤VoIP網(wǎng)絡的通信模式

監(jiān)控工具和入侵探測系統(tǒng)能幫助用戶識別那些侵入VoIP網(wǎng)絡的企圖。詳細觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西，如莫名其妙的國際電話或是本公司或組織基本不聯(lián)系的國際電話，多重登錄試圖破解密碼，語音暴增等。

3、保護VoIP服務器

必須采取效措施來保障服務器的安全以抵御來自內(nèi)部或外部的入侵者用嗅探技術(shù)來截獲數(shù)據(jù)。因為VoIP電話機擁有固定的IP地址和MAC地址，所以攻擊者易于據(jù)此潛入。建議用戶限制IP和MAC地址，不允許隨便訪問VoIP系統(tǒng)的超級用戶界面,并在SIP網(wǎng)關之前建立另一道防火墻，這樣就會在一定程度上限制對于網(wǎng)絡系統(tǒng)的侵入。

4、使用多重加密

僅僅對發(fā)送的數(shù)據(jù)包加密是遠遠不夠的,必須對所有的電話信號進行加密。對話音加密會防止攔截者的語音插入到用戶會話中。在這方面，SRTP協(xié)議能夠?qū)Χ它c通信加密，TLS能夠?qū)φ麄€通信過程加密。應該通過在網(wǎng)關、網(wǎng)絡、主機層面上提供強大的保護來支持語音傳輸加密。

5、建立VoIP網(wǎng)絡的冗余機制

要時刻準備著可能會遭到病毒、DoS攻擊，它們可能會導致網(wǎng)絡系統(tǒng)癱瘓。構(gòu)建能夠設置多層節(jié)點、網(wǎng)關、服務器、電源及呼叫路由器的網(wǎng)絡系統(tǒng),并與不只一個供應商互聯(lián)。經(jīng)常性的對各個網(wǎng)絡系統(tǒng)進行考驗，確保其工作良好，當主服務網(wǎng)絡癱瘓時，備用設施可以迅速接管工作。

6、將設備置于防火墻之后

建立分離的防火墻，這樣通過VLAN邊界的通信僅限于可用的協(xié)議。萬一客戶端受到感染的話，這會防止病毒、木馬擴散到服務器。建立分離的防火墻后，系統(tǒng)安全策略的維護也會變得簡單。當需要時，必須正確配置防火墻以便開放或關閉某些端口。

7、定期更新補丁

VoIP網(wǎng)絡的安全性，既依賴于底層的操作系統(tǒng)又依賴于運行其上的應用軟件。保持操作系統(tǒng)及VoIP應用軟件補丁及時更新對于防御惡意程序或傳染性程序代碼是非常重要的。

8、將內(nèi)部網(wǎng)絡與Internet分開

將電話管理系統(tǒng)與網(wǎng)絡系統(tǒng)置于國際互聯(lián)網(wǎng)絡直接訪問之外是一個不錯的選擇，將語音服務與其它服務器置于相分離的域中，并限制對其訪問。

9、將軟終端電話(softphone)的使用減至最少

VoIP軟終端電話易于遭受電腦黑客攻擊，即使它位于公司防火墻之后，因為這種東西是與普通的PC、VoIP軟件及一對耳機一起使用的。而且，軟終端電話并沒有將語音和數(shù)據(jù)分開，因此，易于受到病毒和蠕蟲的攻擊。

10、定期進行安全審查

對于超級用戶和一般用戶的活動進行檢查可以發(fā)現(xiàn)一些問題。一些"釣魚"企圖可以被阻止，垃圾信息可以被過濾，入侵者也可以被阻斷。

11、對于實際安全性進行評估

要確信只有經(jīng)過鑒別的設備和用戶，才可以訪問那些經(jīng)過限制的以太網(wǎng)端口。管理員常常被欺騙，接授那些沒有經(jīng)過允許的軟終端電話的請求，因為黑客們能夠通過插入RJ44端口輕易地模仿IP地址和MAC地址。

12、使用提供數(shù)字安全證書的商家

如果IP電話商能夠提供證明書來對設備進行認證，用戶基本上可以確信其通信是安全的，并且不會廣播到其它設備。

13、確保網(wǎng)關的安全

要配置網(wǎng)關，使那些只有經(jīng)過允許的用戶才可以打出或接收VoIP電話，列示那些經(jīng)過鑒別和核準的用戶，這可以確保其它人不能占線打免費電話。通過SPI防火墻、應用層網(wǎng)關、網(wǎng)絡地址轉(zhuǎn)換工具、SIP對VoIP軟客戶端的支持等的組合，來保護網(wǎng)關和位于其后的局域網(wǎng)。

14、分別管理服務器

VoIP電話服務器常常是攻擊者的靶子,因為它們是任何一個VoIP網(wǎng)絡的心臟。服務器的一些內(nèi)在的致命弱點包括其操作系統(tǒng)、服務及它所支持的應用軟件。要將黑客對服務器的攻擊降至最小程度，就要對VoIP傳輸信號的不同服務器分別進行管理。

15、對SIP(會話初始協(xié)議)通信進行排序

徹底檢查網(wǎng)絡SIP通信,檢查那些不正常的信息包及通信模式，這些措施有助于切斷那些非常短小的虛假會話。SIP信號中的語法和語義的異常、不規(guī)則事件、順序錯亂會指明攻擊正在或?qū)⒁_始。

16、檢查應用層的呼叫設置請求

VoIP 電話易于被外部的那些可以訪問網(wǎng)絡的人劫持，管理員需要設置安全策略，這樣，只有呼叫請求與已有策略一致時才可以被接受。

17、隔離語音通信

對于外部通信來說，要依靠虛擬私有網(wǎng)絡(VPN)。分離語音與數(shù)據(jù)通信以阻止那些竊聽用戶談話的企圖。思科有關專家建議，要阻止PC端口訪問語音VLAN。

18、使用代理服務器

通過使用代理服務器來處理進出網(wǎng)絡的數(shù)據(jù)，借以保護用戶的網(wǎng)絡。

19、只運行需要提供和維持VoIP服務的應用軟件

事實上，VoIP應用軟件使用加密的數(shù)據(jù)，也可能招致DoS攻擊。攻擊者可以隱藏在加密的掩護之后來避免其活動遭到監(jiān)視。思科專家認為，信號在用戶代理和SIP代理之間傳輸時，要通過集成SSL通道和SIP代理的方法確保認證完整性。(techtarget)