首頁>>>技術>>>VoIP

多層防范VoIP“隔墻之耳”

張靜 2008/01/28

  即使在VoIP技術廣泛應用的今天,VoIP的安全性仍屢遭質疑。英國安全專家、防火墻公司Borderware創(chuàng)辦人之一Peter Cox就在近日公開宣稱,基于網絡的VoIP電話極不安全,容易給黑客造成可乘之機。為了證實這個觀點,他研發(fā)了可以竊聽VoIP網絡電話的“概念證實”(Proof—of—Concept)型軟件SIPtap。該軟件利用一個安裝在公司網絡上的特洛伊木馬軟件,成功對VoIP網絡進行監(jiān)聽,并可以生成后綴為“.wav”的文件供黑客隨后在互聯(lián)網上傳播使用。

  VoIP成為無論專家還是黑客攻擊的靶子并非偶然。作為一種在網絡上應用的IP技術,與Web和電子郵件等IP應用一樣,VoIP技術存在特有的威脅和風險。這些威脅和漏洞包括所有IP網絡層面的威脅、VoIP協(xié)議和應用的威脅以及與內容有關的威脅等。就如同裸露的皮膚最容易受傷,解決辦法就是給你的VoIP多穿幾層鎧甲——采取多層次安全機制,在潛在入侵者的攻擊路線上盡可能多地設置各種障礙。

  建立一個安全的VoIP網絡,首先要將其從數據網絡中獨立出來。要將虛擬局域網(VLAN)上的VoIP話機設為非路由的地址,然后禁止連接互聯(lián)網的電腦與VoIP之間有任何交流,還要使用存取控制列表(Access Control Lists)來阻止VLAN之間的通訊。

  而且,需要一個特別設計的防火墻,能識別和分析VoIP協(xié)議,對VoIP的數據包進行深度檢查,并能分析VoIP的有效載荷,以便發(fā)現(xiàn)任何與攻擊有關的行為。

  還要在幾個層次上設置障礙,包括保護好VoIP網關,鎖閉網絡物理層,用IPSec加密,用TLS鎖定會話層和用SRTP來對應用層的介質進行加密。

  網關是數據進出VoIP網絡的關鍵點,它會同時連接不同的網絡,如IP網絡和公共電話交換網(PSTN)。在網關上使用授權機制和存取控制,以便控制可通過VoIP系統(tǒng)撥打和接聽的電話,以及設定可以執(zhí)行管理任務的不同人員權限等。

  對一個語音網絡而言,限制對介質訪問以及對VoIP服務器和端點訪問非常重要。 要達到限制對介質訪問或對VoIP服務器和端點訪問的目的,首先對所有呼叫服務器以及與服務器有關的接觸進行控制;然后限制對終端的接觸,并將線纜埋設在墻體中的管道里以保證它們自身的安全;最后還要謹慎選擇無線AP的位置,限制無線交流,限制信號強度,使用屏蔽材料將無線信號盡量阻擋在建筑物之內。

  用IPSec加密來保護網絡中的VoIP數據,能保證即使攻擊者穿越物理層防護措施截獲了VoIP數據包,也無法破譯其中的內容。

  TLS使用的是數字簽名和公共密鑰加密,這意味著每一個端點都必須有一個可信任的、由權威CA認證的簽名。也可以通過一個內部CA(如一臺運行了認證服務的Windows服務器)來進行企業(yè)內部的通話,并經由一個公共CA來進行公司之外的通話。

  用SRTP來對應用層的介質進行加密,可以提供信息認證、機密性、回放保護等安全機制。

  VoIP安全保護偏方

  無論VoIP網絡防范多么嚴密,攻擊不可避免會發(fā)生。因此,有必要通過部署合適的監(jiān)視工具和入侵檢測系統(tǒng),發(fā)現(xiàn)試圖攻入VoIP網絡的各種嘗試。通過仔細觀察這些工具所記錄下來的日志,有助于及時發(fā)現(xiàn)各種數據流量的異常狀況,從而發(fā)現(xiàn)是否有人通過暴力破解賬號的方式進入網絡。

  與此同時,及時維護操作系統(tǒng)和VoIP應用系統(tǒng)的補丁,對于防范來自惡意軟件或病毒的威脅是非常重要的。

  還有一個點子可能會有幫助,那就是制定一個計劃,把你自己假想成一個黑客高手,然后嘗試用各種辦法來攻擊你的VoIP系統(tǒng)。沒有找到攻擊入口,并不代表你的VoIP系統(tǒng)是安全的。但是如果你能找到入口,那么別人也可以,那就趕快堵住這個漏洞吧!

中計報(www.ccidnet.com)


相關鏈接:
2008年提防VoIP漏洞 2008-01-28
統(tǒng)一通信的生態(tài)系統(tǒng)——訪AVAYA公司中國區(qū)總裁 2008-01-25
IP通信本土化競爭成熱點 2008-01-24
關于NGN若干問題的思考-從VoIP到NGN 2008-01-22
CIO關注:統(tǒng)一通信能否沖破安全魔咒 2008-01-22

分類信息: