扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年12月2日
关键字: VoIP
现在流行的IP网络模型将网络通信
同样,要保护你的VoIP网络,最好的方法也是采取一种多层次安全机制,在潜在入侵者的攻击路线上尽可能多地制造各种障碍。
分离语音和数据网络
要建立一个安全的VoIP网络,首要的步骤就是将其从你的数据网络中独立出来。
然将所有网络集成到一起,可能在管理的简易性及协同工作方面更加理想,但并不安全。最好的选择是使用VLAN交换机将数据网络和语音网络从逻辑上分离开来——这意味着对数据网络进行的攻击将不会影响到你的VoIP系统。
要将VoIP网络从数据网络中分离出来,首先要将分离VLAN上的VoIP话机设为非路由的地址;然后禁止连接互联网的电脑与VoIP之间有任何交流;接下来还要使用存取控制列表(Access
配备VoIP专用防火墙
对一个IP网络来说,边界保护通常意味着使用防火墙,但是一个老旧的防?星际遣皇屎蟅oIP网络的。你需要一个特别设计的防火墙,它得能识别和分析VoIP协议,能对VoIP的数据包进行深度检查,并能分析VoIP的有效载荷以便发现任何与攻击有关的蛛丝马迹。
如果你的VoIP部署使用了SIP协议(Session Initiation Protocol),那么防火墙就应当能执行下述操作:监控进出的SIP信息,以便发现应用程序层次上的攻击;支持TLS(传输层安全);执行基于SIP 的NAT以及介质端口管理;检测非正常的呼叫模式;记录SIP信息的详情,特别是未经授权的呼叫。
保护好VoIP网关
网关是数据进出VoIP网络的关键点,它会同时连接不同的网络,如IP网络和公共电话交换网(PSTN)。你应当在网关上使用授权机制以及存取控制,以便控制可通过VoIP系统拨打和接听电话,以及设定可以执行管理任务的不同人员权限等等。
锁闭网络物理层
对一个语音网络而言,限制对介质访问以及对VoIP
用IPSec加密网络层
你可以使用IPSec加密来保护网络中的VoIP数据;如果攻击者穿越了你的物理层防护措施,并截获了VoIP数据包,他们也无法破译其中的内容。IPSec使用认证头以及压缩安全有效载荷来为IP传输提供认证性、完整性以及机密性。
VoIP上的IPSec使用隧道模式,对两头终端的身份进行保护。IPSec可以让VoIP通讯比使用传统的电话线更安全。
用TLS锁定会话层
你还可以使用TLS来保护VoIP会话,TLS使用的是数字签名和公共密钥加密,这意味着每一个端点都必须有一个可信任的、由权威CA认证的签名。或者你也可以通过一个内部CA(比如一台运行了认证服务的Windows
用SRTP保护应用层
你可以使用“安全RTP(SRTP)”来对应用层的介质进行加密。RFC 3711定义了SRTP,让它可以提供信息认证、机密性、回放保护、阻止对RTP数据流的拒绝服务式攻击等安全机制。通过SRTP,你可以对无线网和有线网上的VoIP通讯进行有效的保护。
总结
基于IP网络及其协议
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者