VoIP的安全漏洞和防護(hù)(下)
北電網(wǎng)絡(luò)李吳建
2004/07/01
解決VoIP安全漏洞的主要方法有以下幾種:
1.將用于話音和數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)進(jìn)行隔離
這里所說(shuō)的隔離并不是指物理上的隔離�����,而是建議將所有的IP話機(jī)放到一個(gè)獨(dú)立的VLAN當(dāng)中����,同時(shí)限制無(wú)關(guān)的PC終端進(jìn)入該網(wǎng)段����。通過(guò)很多評(píng)測(cè)者的反饋信息表明,劃分VLAN是目前保護(hù)IP話音系統(tǒng)最為簡(jiǎn)單有效的方法����,可以隔離病毒和簡(jiǎn)單的攻擊。同時(shí)��,配合數(shù)據(jù)網(wǎng)絡(luò)的QoS設(shè)定�,還將有助于提高話音質(zhì)量�����。
2.將VoIP作為一種應(yīng)用程序來(lái)看待
這也意味著我們需要采用一些適用于保護(hù)重要的應(yīng)用服務(wù)器之類的手段�,來(lái)保護(hù)VoIP設(shè)備中一些重要的端口和應(yīng)用,例如采用北電網(wǎng)絡(luò)Aleton交換防火墻就可以有效地抵御DoS的攻擊�����。同樣的辦法也適用于VoIP系統(tǒng),當(dāng)兩個(gè)IP終端進(jìn)行通話時(shí)��,一旦信令通過(guò)中心點(diǎn)的信令服務(wù)進(jìn)程建立之后���,媒體流只存在于兩個(gè)終端之間���;只有當(dāng)IP終端上發(fā)起的呼叫需要透過(guò)網(wǎng)關(guān)進(jìn)入PSTN公網(wǎng)時(shí),才會(huì)占用媒體網(wǎng)關(guān)內(nèi)的DSP處理器資源����。所以,我們需要對(duì)信令和媒體流兩類對(duì)外的地址和端口進(jìn)行保護(hù)����。同時(shí),盡可能少保留所需要的端口���,例如基于Web方式的管理地址��,并且盡可能關(guān)閉不需要的服務(wù)進(jìn)程��。需要提醒的是��,H.323/SIP在穿越NAT和防火墻的時(shí)候會(huì)遇到障礙�����,這是由于協(xié)議本身的原因造成的����,但通過(guò)啟用“應(yīng)用層網(wǎng)關(guān)”之后,就可以解決這個(gè)問(wèn)題�;隨著呼叫量的增長(zhǎng),可以采用外置媒體流代理服務(wù)器的辦法來(lái)支持更大規(guī)模的VoIP系統(tǒng)�。
3.選擇合適的產(chǎn)品和解決方案目前不同廠家的產(chǎn)品體系構(gòu)架不盡相同,操作平臺(tái)也各有偏愛(ài)�����。我們無(wú)法斷言哪種操作系統(tǒng)最為安全可靠��,但廠家須有相應(yīng)的技術(shù)保障來(lái)讓用戶相信各自的產(chǎn)品有能力抵御日益繁多的病毒侵襲�����。同時(shí)���,很多廠家的產(chǎn)品也采用了管理網(wǎng)段和用戶的IP話音網(wǎng)段在物理上隔離的機(jī)制���,盡可能少地將端口暴露在外網(wǎng)上。北電網(wǎng)絡(luò)推出的Succession1000/1000M就采用了這些設(shè)計(jì)思路���,將管理網(wǎng)段和用戶網(wǎng)段徹底在物理上隔離�����,并采用VxWorks操作系統(tǒng)�,盡可能多地屏蔽外界對(duì)系統(tǒng)的影響�。
4.話音數(shù)據(jù)流的加密目前H.323協(xié)議簇中有一成員H.235(又稱為H.Secure)是負(fù)責(zé)身份驗(yàn)證、數(shù)據(jù)完整性和媒體流加密的�。更實(shí)際的情況是廠家會(huì)選用各自私有的協(xié)議來(lái)保證VoIP的安全性。即使你獲得了軟件并且成功連接到公司的IP話音網(wǎng)段�����,仍然有可能一無(wú)所獲�。因?yàn)槟壳昂芏嗥髽I(yè)內(nèi)部的數(shù)據(jù)網(wǎng)絡(luò)都采用以太網(wǎng)交換機(jī)的10/100M端口到桌面而不是HUB,因而無(wú)法通過(guò)Sniffer的方式竊取信息���。
但是����,假設(shè)某人通過(guò)非法手段獲得了網(wǎng)絡(luò)的超級(jí)管理員權(quán)限,然后將IP話音網(wǎng)絡(luò)的端口都鏡像到自己裝有Sniffer程序的PC網(wǎng)口上呢�?這時(shí)就不僅僅是一個(gè)VoIP的安全問(wèn)題了。但在利用VoIP方式作兩點(diǎn)之間的中繼互聯(lián)時(shí)���,仍然可以使用VPN技術(shù)保證信息的高保密性�。北電網(wǎng)絡(luò)已經(jīng)幫助眾多用戶�����,在各類接入方式上實(shí)施了基于VPN的IP中繼互聯(lián)���。
5.合理制定員工撥號(hào)權(quán)限很多廠家已經(jīng)將傳統(tǒng)交換機(jī)的豐富功能移植到了VoIP系統(tǒng)�����,這些功能將有效地抑制竊取登錄密碼進(jìn)行盜打的現(xiàn)象���。給IP電話設(shè)定能否撥打長(zhǎng)途或特定號(hào)碼的權(quán)限,或者是通過(guò)授權(quán)碼的方式要求撥打長(zhǎng)途號(hào)碼前必須輸入正確的若干位密碼等方式����,可以簡(jiǎn)單解決上述問(wèn)題。
IP網(wǎng)絡(luò)所存在的安全問(wèn)題一直以來(lái)受到大家的關(guān)注。而作為數(shù)據(jù)網(wǎng)絡(luò)上的一種新興的應(yīng)用���,VoIP所面臨的一些安全隱患,實(shí)際是IP網(wǎng)絡(luò)上存在的若干問(wèn)題的延續(xù)�����。只有很好地解決了網(wǎng)絡(luò)的安全問(wèn)題�,同時(shí)配合產(chǎn)品本身的一些安全認(rèn)證機(jī)制,基于VoIP的應(yīng)用才能夠在企業(yè)中持久穩(wěn)定地發(fā)揮作用����,并成為解決企業(yè)話音通信需求的有效方法。
中國(guó)信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)