科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道使用多层方法确保VoIP安全

使用多层方法确保VoIP安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

要保护你的VoIP网络,最好的方法也是采取一种多层次安全机制,在潜在入侵者的攻击路线上尽可能多的制造各种各样的障碍。让我们来讨论一些建立一个多层次VoIP安全策略的方法。

作者:ZDNet China 2007年3月5日

关键字: VoIP voiceip 安全管理 sip协议 IP通信

  • 评论
  • 分享微博
  • 分享邮件
流行的IP网络模型将网络通信进程分成了不同层面——这样让人更易于理解,部署和调试。不管是国际标准组织制定的7层模型(OSI模型),或是美国国防部开发的4层模型(DoD或TCP/IP模型),对每一层面上运作的协议有着良好的理解,对所有IP加密来说都是必要的(包括VoIP)。

在所有安全措施当中,多层次方法的效果最好。举例来说,你很可能为保护自己的家庭财产免遭盗贼毒手而早已实施了一个多层次方法:你在家居周围竖起篱笆,并锁上了篱笆的大门;在院子里养了一条大狗,以防有人可以穿过篱笆;又在门上和窗户上安装了防盗锁,以防有人躲过了大狗;然后又安装了一套防盗报警系统,以防有人能够打开防盗锁;最后又把家里所有值钱的东西放在一个很秘密、难以寻找的地方,以防万一有人可以绕过你的上述所有安全措施而进入你的家中。

同样,要保护你的VoIP网络,最好的方法也是采取一种多层次安全机制,在潜在入侵者的攻击路线上尽可能多的制造各种各样的障碍。让我们来讨论一些建立一个多层次VoIP安全策略的方法。

定义边界:分离语音/数据网络
在你可以实践边界安全之前,你需要有一个预先定义好的边界。要建立一个安全的VoIP网络,首要的第一步就是将其从你的数据网络中独立出来。

虽然将所有网络集成到一起,可能在管理的简易性以及协同工作方面堪称完美,但是在安全方面可就不怎样了。你最好的选择是使用VLAN交换机将数据网络和语音网络从逻辑上分离开来——这意味着对数据网络进行的攻击将不会影响到你的VoIP系统。

执行下述步骤:

  • 将分离VLAN上的VoIP话机设为非路由的(私有)地址
  • 不允许连接互联网的电脑与VoIP构成之间有任何交流
  • 使用存取控制列表(ACL,access control lists)来阻止VLAN之间的通讯

    对边界进行安全防护:VoIP防火墙对边界进行安全防护:VoIP防火墙
    对一个IP网路来说,边界保护通常意味着一个防火墙,但是仅仅是一台老旧的防火墙的话,是不适合一个VoIP网络的。你需要一个特别设计的防火墙来处理VoIP通信。换句话说,它需要能够识别和分析VoIP协议,对VoIP的数据包进行深度检查,并分析VoIP的有效载荷以便发现任何有关攻击的蛛丝马迹。

    举例来说,如果你的VoIP部署使用了SIP协议(Session Initiation Protocol),那么防火墙就应当能执行下述操作:

  • 监控进出的SIP信息,以便发现应用程序层次上的攻击
  • 支持TLS(传输层安全,Transport Layer Security)
  • 执行基于SIP的NAT以及介质端口管理
  • 检测不平常的呼叫模式
  • 记录SIP信息的详情,特别是未经授权的呼叫。

    保护VoIP网关
    网关是数据进出VoIP网络的关键点;网关会同时连接不同的网络,比如IP网络和公共电话交换网(PSTN)。你应当在网关上使用强力的授权机制以及存取控制,以便控制到底谁可以通过VoIP系统拨打和接听电话,以及到底谁可以执行管理任务,等等。

    锁闭物理层
    网络的物理层包括IP数据包运行所在的介质。可能是以太网,光纤电缆,或者是无线VoIP中的电波。对一个语音网络而言,限制对介质访问(以及对VoIP服务器和端点的访问)的重要性,丝毫不逊于同等措施对数据网络的重要性。

    那些对介质有存取权限的入侵者们——可能是接上一台交换机或者集线器,可能是直接转接电缆,或者是对无线通信进行接听——可以使用一个“嗅探器”软件来捕获所有包含语音数据以及信号信息的数据包。然后他们可以使用类似VOMIT这样的易用工具来对数据重新整合,从而实现对会话的窃听——甚至可以对通讯过程进行修改,并将之运用于语音重放攻击之中。

    执行下述步骤:

  • 将所有呼叫服务器都存放在一个上锁的房间之中,从而对所有服务器的接触进行控制。

  • 限制对终端的接触(包括硬电话机,或者安装在电脑中的“软电话机”程序)。

  • 将线缆埋设在墙体中的管道里,从而保证线缆自身的安全

  • 谨慎选择无线AP位置,限制无线交流,限制信号强度,使用屏蔽材料将无线信号尽量阻挡在建筑物之内等。

    对网络层面进行保护
    你可以使用IPSec加密,来保护网络中的VoIP数据;如果攻击者穿越了你的物理层防护措施,并截获了VoIP数据包,他们也无法破译其中的内容。IPSec使用认证头(AH,Authentication Header)以及压缩安全有效载荷(ESP,Encapsulating Security Payload)来为IP传输提供认证性,完整性以及机密性。

    VoIP上的IPSec使用隧道模式,从而对两头终端的身份进行保护。IPSec可以让你的VoIP通讯比使用传统的电话线还要更安全。

    锁定会话层
    你可以使用TLS来保护VoIP会话,从而保证呼叫建立时就受到保护,并在通话期间一直受到保护。TLS在通话两端之间提供了一个加密信道,并在网络层(IPSec的工作层)和应用层之间进行运作。

    TLS使用数字签名和公共密钥加密。这意味着每一个端点都必须有一个可信任的,由权威CA认证的签名——或者经由一个内部CA(比如一台运行了认证服务的Windows服务器)来进行企业内部的通话,或者经由一个公共CA(比如VeriSign)来进行公司之外的通话。RFC 3261定义了一种经由TLS信道发送SIP的方式,被称为“安全SIP(SIPS)”。

    保护应用层
    你可以使用“安全RTP(SRTP)”来对应用层的介质进行加密。RFC 3711定义了SRTP,可以提供下述安全机制:

  • 信息认证
  • 机密性
  • 回放保护
  • 阻止对RTP数据流的拒绝服务攻击

    你可以使用SRTP(它使用了AES密码),来对无线网以及有线网上的VoIP通讯进行保护。

    总结
    在企业考虑部署一个VoIP时,对安全的担心依旧是最主要的问题所在。且不论VoIP不断增长的流行趋势,安全方面依旧是它四处扩张的主要障碍。

    基于IP网络及其协议的公共性质,VoIP天生就具备相对传统电话网而言更易受到攻击的特质。通过采取一个仔细规划的,多层次的VoIP网络防护措施,企业可以让它VoIP网络的安全程度赶上甚至是超过传统的电话系统。

    (责任编辑:陈毅东

      • 评论
      • 分享微博
      • 分享邮件
      邮件订阅

      如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

      重磅专题
      往期文章
      最新文章