科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道危机重重 周密防护保障企业VoIP安全

危机重重 周密防护保障企业VoIP安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

借助IP网络,基于VoIP技术的IP电话实现了零成本的语音通话,正因于此,不少接入了互联网的企业都引入了VoIP应用,并部署了VoIP网络。

作者:小草鱼儿 来源:IT168 2008年10月14日

关键字: VoIP安全 安全策略

  • 评论
  • 分享微博
  • 分享邮件

  借助IP网络,基于VoIP技术的IP电话实现了零成本的语音通话,正因于此,不少接入了互联网的企业都引入了VoIP应用,并部署了VoIP网络。从技术层面来讲,VoIP应用也是IP网络应用的一种,IP协议存在的一些先天安全漏洞,同样影响着VoIP业务的安全运行。具体来说,诸如病毒、 DoS攻击、嗅探等威胁IP网络安全的不安全因素,同样会对企业VoIP网络构成巨大的威胁,VoIP可谓是危机重重。

  对于企业而言,一旦VoIP网络被黑客入侵,黑客不但可以自由监听每部VoIP电话的通话内容,还可能破坏企业VoIP网络。如何才能保障企业VoIP网络的安全呢?在为企业VoIP网络制订安全防护方案时,可以借鉴传统IP网络安全防护方案,并结合VoIP网络的特点。具体来说,主要有以下几个方面:

  多管齐下保障VoIP服务器安全

  在企业VoIP网络中,VoIP服务器是核心,也是企业网管的重点保护对象。从技术层面来讲,VoIP服务器的安全,不仅涉及到网络数据传输,也涉及到服务器的安全保障工作。多个方面都考虑到,VoIP服务器的安全才能得到保障。

  1、隔离VoIP数据传输:在网络运行中,VoIP网络服务器与网络中的计算机是可以互相访问的,这无疑增加了VoIP网络的危险。为了保障VoIP网络的安全,可以利用VLAN技术,将VoIP服务器划分在一个单独的VLAN中,因为VoIP服务器无需与网络中的计算机互相交换数据,也无需实现互相访问。通过划分VLAN,可以将VoIP的数据传输限制在一个固定的范围内,网络攻击和网络嗅探就很难再危及VoIP网络,VoIP网络的安全性无形之中提高了。

  图一

  VoIP网络架构

  2、安装防火墙保障VoIP服务器安全:划分VLAN虽然可以将VoIP服务器放在一个相对封闭的环境中,但VoIP服务器工作时仍然需要与 Internet通讯,来自互联网的攻击也会危及VoIP服务器的安全。在VoIP服务器与互联网中间,可以安装防火墙来保障VoIP服务器的安全。其实,很多企业网络都安装了防火墙,可一些企业网管由于不重视VoIP服务器的安全,通常将VoIP服务器安装在防火墙前面。为了保障VoIP服务器的安全,必须将VoIP服务器放在防火墙设备后,让防火墙成为VoIP服务器的一道安全屏障。

  3、及时安装安全补丁:如同微软操作系统一样,VoIP服务器也会出现一些安全漏洞,弥补这些安全漏洞的方法就是安装安全补丁,而且要及时安装安全补丁。

  用多种加密手段保障VoIP数据传输安全

  由于VoIP数据传输仍然是通过互联网来进行的,这意味着只要黑客使用诸如Sniffer这样的软件抓取数据包,就有可能破译VoIP网络的相关数据。通过嗅探到的数据,黑客有可能会破坏企业的VoIP网络。由此不难看出,保障VoIP数据传输安全非常重要,企业网管必须设法保障VoIP网络数据传输安全。

  在实际应用中,VoIP网络会产生两类数据,一类是语音数据包,是用户正常通话时产生的数据包;另一类是分组信令数据包,是用户使用VoIP电话呼叫另一 VoIP电话用户过程所产生的数据包。VoIP网络产生的两类数据中的任何一类被黑客获取,都是VoIP电话的一种安全威胁。为此,必须用技术手段保障 VoIP网络的数据传输安全。

  1、利用SRTP对分组信令进行加密:SRTP具备介质验证和加密特性的特点,可以对IP电话到网关以及网关间的呼叫进行加密,这样可以保护端接在TDM 或模拟网关端口中的话音会话或传真会话免遭窃听。由于SRTP加密需要路由器设备的支持,在保障VoIP数据传输安全时,必须要查看一下企业所使用的路由器是否支持SRTP。

  图二

  SRTP加密模式

  2、利用TLS对语音数据进行加密:在应用中,VoIP网络所产生的语音数据SIP数据包是通过TCP或UDP连接,以纯文本的方式进行传输,所以非常容易受到黑客的伪造和攻击。企业网管可以利用TLS对VoIP语音数据进行加密。TLS提供了一个加密信道,以便你用于传输SIP信息。SIPS要求来自 SIP用户以及代理的认证信息,该认证使用MD5校验机制。该RFC标准同时还定义了一个SIP统一资源标识符URI(Uniform Resource Identifier),可用于从一个端点到另一个端点提供安全连接。与SRTP加密一样,使用TLS加密也有一定的条件,那就是VoIP设备是否支持SIPS协议。

  对VoIP电话的分组信令和语音数据进行加密了,VoIP网络数据传输似乎再也无懈可击,事实并非如此。加密方式也有自己的弱点,SRTP和TLS加密的弱点自然会对VoIP网络数据传输的安全性产生一定的负面影响。以SRTP加密来说,虽然可以对VoIP分组信令进行加密,可是通过WAN进行传输时,有可能会暴露VoIP分组信令数据包的报头。为此,网管在对分组信令和语音数据进行加密之后,还需要使用另外一种加密模式,确保VoIP数据传输安全。这就需要使用IPSec VPN加密。也就是说,对于VoIP网络数据传输的加密,不要单纯使用一种加密模式,而是多种加密模式共存,全面保障VoIP网络数据传输的安全。

  加强日常维护保障VoIP网络安全

  对VoIP网络服务器和数据传输进行了安全加固之后,并不意味着VoIP网络就永远安全了,其实这仅仅是一时的安全。在对VoIP网络的维护中,也要紧绷安全这根弦,不断发现VoIP网络的安全漏洞,及时加固。

  在对VoIP网络的日常维护中,最主要的是对VoIP网络服务器、防火墙及VoIP网关的维护。在维护时,需要注意以下几个方面:

  1、定期检查VoIP网络服务器流量:如同Web服务器和邮件服务器一样,VoIP网络服务器也会有流量。众所周知,一个正常的语音通话需要占用 64kbps的网络通道,如果现有网络中没有语音通话,VoIP网络服务器的流量是不会超过64Kbps的。为此,通过流量的变化,可以洞察VoIP网络服务器是否存在安全隐患。一旦有非法入侵VoIP网络服务器或者是非法网络攻击,VoIP网络服务器的流量会瞬时变大。通过不正常的流量变化,检查 VoIP网络服务器的安全漏洞,并及时封堵安全漏洞。

  图三VoIP话机

  2、制订相应的安全策略:企业的VoIP网络是为本公司员工访问的,员工所使用的VoIP话机都有相应的MAC地址和IP地址。这种情况之下,我们可以在VoIP网络服务器中,对访问资源进行相应的限制,这样也以保障企业VoIP网络的安全。最简单的方法就是限制规定的MAC地址访问,对于生疏的 MAC地址,拒绝提供VoIP电话服务。

  3、定期检查VoIP话机是否有安全隐患:无论是硬件的VoIP电话机,还是基于软件的VoIP软件,都会存在一定的安全隐患。为此,在对VoIP网络的日常维护中,一定要定期检查VoIP话机和软件是否有安全隐患,发现隐患,及时制订相应的安全策略并应用到VoIP网络中。

  4、定期进行安全评估:如同企业网络的安全评估一样,对于企业的VoIP网络,也要进行定期的安全评估。建议网管对VoIP网络进行安全评估时,不妨以一个入侵者或者一个破坏者的立场来检查VoIP网络的安全性,这样可以发现VoIP网络每个环节可能存在的安全隐患并及时消除。

  5、定期查看安全日志:VoIP网络服务器,与VoIP网络服务器连接的路由器及防火墙设备工作时都会产生安全日志,对VoIP网络进行维护时,查看日志是必不可少的。通过日志内容,可以发现对VoIP网络攻击的地址,以及可能诱发VoIP网络不正常运行的因素。

  总之,在对VoIP网络的安全维护中,不要一味的保障VoIP网络的正常运行,更要关注是否存在威胁VoIP网络安全运行的不利因素,并及时纠正。 VoIP网络与企业网络一样,都是基于IP技术的网络,这注定了VoIP网络在运行中会危机重重。为此,企业网管必须从服务器、数据传输等多方面入手周密防护,以保障企业VoIP网络的安全。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章