VoIP安全檢查要點
2004/12/02
如果實現(xiàn)VoIP,安全是個需要考慮的重要事項�����,因為VoIP中的每一節(jié)點都像計算機一樣是可訪問的。VoIP易遭受DoS攻擊以及遭黑客入侵的網(wǎng)關(guān)會導(dǎo)致發(fā)生未經(jīng)授權(quán)的免費呼叫��、呼叫竊聽和惡意呼叫重定向等問題�。VoIP還帶來某些特定的安全挑戰(zhàn)。例如���,必須對VoIP呼叫的兩個部分(呼叫建立信息和實際呼叫媒體流)進行審查�。事實上����,僅今年所報道的與VoIP有關(guān)的安全事件數(shù)量就比2004年前所有年份所報道的總數(shù)還要多。
VoIP協(xié)議有幾個����。VoIP專家們可能會提倡不同的協(xié)議,因為這些協(xié)議各有優(yōu)點,但在安全問題上��,對大多數(shù)VoIP協(xié)議來說��,卻有幾個需要共同考慮的事情:運用最佳的安全建議可以消除額外的風(fēng)險和攻擊���。
VoIP的安全漏洞
VoIP基礎(chǔ)設(shè)施需要添加專用交換機系統(tǒng)、網(wǎng)關(guān)��、代理���、注冊和定位服務(wù)器以及撥打到IP骨干網(wǎng)的電話���。每一個VoIP組件在數(shù)據(jù)網(wǎng)絡(luò)上都像其他計算機一樣是可尋址和可訪問的。每一VoIP組件都包括一個運行軟件的處理器和可能遭受攻擊的TCP/IP堆棧�����。對數(shù)據(jù)通信的攻擊可通過IP語音基礎(chǔ)設(shè)施進行��。針對脆弱的VoIP組件的DoS攻擊會用虛假的語音通信擁塞網(wǎng)絡(luò)���,降低網(wǎng)絡(luò)性能或中止語音和數(shù)據(jù)通信�。此外,如果PC感染了截獲LAN通信包的特洛伊木馬病毒��,基于PC的軟電話就會非常容易遭到竊聽����。VoIP漏洞還可被利用來對DMZ(非軍事區(qū))中的服務(wù)器和主機發(fā)動bounce攻擊。
簡而言之�,VoIP使語音通信面臨與數(shù)據(jù)通信一樣的安全威脅。同時����,VoIP也帶來了一些安全挑戰(zhàn)。VoIP電話呼叫有兩個組成部分—呼叫建立的交換信令信息和傳輸“語音”媒體流���。
信令和媒體路徑是分離的����,需要在使用VoIP進行通信的兩部分之間建立邏輯連接�。
VoIP安全建議
以滿足需求為前提 在使用不同協(xié)議和不同廠商VoIP設(shè)備問題上可能既會有贊成意見也會有反對意見。要確保所選擇的設(shè)備能滿足你的需求�����,改變需求以支持特定廠商的設(shè)備是非常危險的行為�����。
停止使用不必要的協(xié)議 一些協(xié)議的未知漏洞經(jīng)常會被利用。沒有必要啟用不必要和未用過的協(xié)議和服務(wù)�,為黑客提供更多的機會。
確�?晒芾硇 由于VoIP基礎(chǔ)設(shè)施中的每一組件都像任何計算機一樣容易訪問��,因此都有可能遭受攻擊����。即便是電話和終端,所有VoIP系統(tǒng)都是在硬件基礎(chǔ)上運行的軟件系統(tǒng)��,所以要確保能夠管理這種基本的VoIP操作系統(tǒng)���。
對遠程操作進行認證 VoIP終端可進行遠程升級和管理�。要確保僅使用基于IP地址的惟一用戶名���。 最后所需要的是一個可管理服務(wù)的遠程程序�。
將VoIP服務(wù)和內(nèi)部網(wǎng)絡(luò)分開 有幾種安全設(shè)備不能充分運行VoIP信令命令�����。因此,它們可能打開動態(tài)通信端口�,使網(wǎng)絡(luò)容易遭受bounce攻擊。這會使攻擊者侵入內(nèi)部LAN中的其他關(guān)鍵業(yè)務(wù)組件����。同時,應(yīng)該用物理或邏輯分離器將VoIP和其他基于IP的基礎(chǔ)設(shè)施分隔開來�����。
能夠?qū)oIP進行檢查的安全系統(tǒng) 此種安全系統(tǒng)必須能夠?qū)彶閂oIP流��,分析呼叫狀態(tài)并且檢查服務(wù)內(nèi)容��,以確保所有參數(shù)是一致的�。
除了以上的問題需要考慮外,還應(yīng)該考慮網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)對VoIP流量造成的影響����。
網(wǎng)絡(luò)世界(cnw.ccw.com.cn)