VoIP存在很多安全隱患,面臨很多安全威脅,但是這不是說VoIP的安全性就不可救藥,實際上隨著安全事件的屢次發生,眾多VoIP廠商也在不斷的實踐中積累著經驗,通過一些措施來更大限度的保障VoIP的安全。
但提高VoIP的安全性要雙管齊下,除了VoIP廠商要摒棄VoIP安全是一個附加產品的觀念,將安全技術一并根植于VoIP產品本身外;對于VoIP使用者而言,要充分意識到, VoIP設備的安全直接影響著整個企業基礎網絡的安全,作為管理者不要認為采用VoIP產品僅僅是添加了一部網絡電話,如果不做好完備的防護措施,它很有可能將成為黑客輕松進入企業內網的一扇門,因此企業應選用來自IT或數據部門的專業人士來管理IP通訊系統,而并非原有的語音部門,這些人必須比管理傳統PBX的專業人員更謹慎小心。
可以看出VoIP面臨的安全問題實際上大部分是IP網絡所面臨的問題。因此常規的安全措施是首先要保證的,另外VoIP應用的特殊性使其需要特殊的措施來加強安全性,下面筆者推薦幾種防范小措施。這幾個措施可能并沒有使用什么高深的技術,但采取這幾種措施之后可能會幫助你的網絡堵住VoIP大漏洞。
VoIP統一到一個VLAN中 便于設置QoS策略
筆者見到很多用戶部署VoIP時,往往采用VoIP和一般性數據混合在一個網絡之中。這種部署方式的最大軟肋在于,因VoIP對帶寬以及QoS的需求與一般數據并不相同,將直接導致交換、路由器以及網絡上諸多安全設備的傳輸效能大大降低。
將VoIP數據與一般性數據進行甄別之后,分開傳輸無疑是最恰當的方法。而這一方法也是思科等VoIP設備供應商們的推薦方法之一。
具體方法是,將語音和數據劃分到不同的虛擬局域網(VLAN)中分開,讓語音和數據在不同的虛擬局域網上傳輸;將VoIP統一到同一個VLAN中,在同一VLAN中傳輸的數據對服務質量(QoS)要求相同,可以簡化服務質量(QoS)設置。QoS設置簡化后,用戶只需為VoIP虛擬局域網賦予優先級即可。有一點需要注意,當VoIP如果要通過路由器進行傳輸,仍需要第三層服務質量。
這種方法帶來直接的好處是,兩者分開還可以將語音網絡從數據VLAN中隱藏起來,可以有效地解決數據欺騙、DoS攻擊等,因此沒有了可能會發起攻擊的計算機,你的VoIP網絡就會安全很多。
加固你的VoIP服務器防范竊聽
實際上,將VoIP信號統一到同一個VLAN中,除了上述優點之外,還可以大大降低竊聽電話現象的發生。如果語音包被人用分析儀獲取,重放語音就輕而易舉。虛擬局域網可以阻止有人從外面發動攻擊。
俗話說"家賊難防",上述方法只能防范外部網絡電話的竊聽行為,對內部攻擊卻難以預防。因為內部人員只要將任意一個終端設備接入網絡之中,進行適當配置,披上偽裝成為VoIP虛擬局域網的一部分,就可以任意竊聽。要防止這種破壞,最好的辦法就是購買具有強加密功能的VoIP電話,而這種方法要奏效,每只電話都要有加密功能。這種防范方法造價高,其保密效果到底能提升到何種程度,都很難說。
另外一種更為直接有效的方法是"釜底抽薪"。也就是將VoIP服務器從物理上杜絕內部和外部攻擊者,以避免別有用心者利用偵聽技術來截取VoIP信息。具體方法是,鎖定能夠訪問VoIP管理界面的IP地址和MAC地址,同時在SIP網關前放置防火墻,以達到只允許合法用戶才可以進入相關VoIP系統。
譬如說,Ingate公司的防火墻就是為基于SIP的VoIP系統而設計。Ingate最近宣布,如今其產品已通過了認證,能夠與Avaya公司的基于SIP的產品協同工作。確保你實施的VoIP系統基于SIP,那樣以后需要安全選項功能時不至于只能求助于你現有的VoIP廠商。
有些用戶不僅使用防火墻,還對相關的VoIP數據包進行加密。然而你可知道,僅僅加密發送出去的數據是不夠的,還必須加密所有呼叫信號。加密語音數據包可以防止語音插入。例如可以通過實時安全協議(SRTP)來加密節點之間的通信,通過TLS來加密整個過程。
監視跟蹤、網絡冗余等手段抵御DoS攻擊
竊取VoIP帳號是黑客借助VoIP網絡偽裝成合法客戶,進入企業網絡最常用的方法之一。為了竊取帳號,黑客可以說是不擇手段,甚至是采用暴力破解方法來攻擊某一個帳號的密碼,試圖破解控制它。這勢必會引起網絡流量驟增,引發DoS攻擊幾率大大增加。
通過部署合適的監視工具和入侵檢測系統,可以幫助你發現試圖攻入你的VoIP網絡的各種嘗試。通過仔細觀察這些工具所記錄下來的日志,有助于你及時發現各種數據流量的異常狀況,從而可以發現是否有人試圖使用暴力破解帳號進入網絡。
不得不承認,無論你的防范多么嚴密,總會有攻擊的發生,因此請做好準備應對DoS攻擊或病毒導致網絡癱瘓,其中一個辦法就是增加冗余設計,一旦現在運行著的系統遭受攻擊或出現意外,可以自動切換到另一套設備上,這樣可以最大限度地減少損失,為你發現并解決問題提供充裕的時間。
VoIP網絡的安全性很大程度上取決于網絡內設備的操作系統和運行在其上的各種應用。及時維護操作系統和VoIP應用系統的補丁,對于防范來自惡意軟件或病毒的威脅是非常重要的。事實上,很多攻擊都是利用了系統的漏洞。這一點與IP網絡的安全防御是一致的。
制定一個計劃,把自己的角色轉換成一個黑客的身份,那么嘗試用各種辦法來攻擊你的VoIP系統吧,盡管找不到攻擊入口并不代表你的VoIP系統就是安全的,但是如果能找到入口,那么別人也可以,趕快采取辦法來堵住這個漏洞。
加固VoIP網絡的辦法絕不僅如此,本文只撿一些必要的幾點進行介紹。然而這并不是最重要的,比這更重要的是,我們要正確面對VoIP存在的安全問題,既要承認它的存在,又要相信通過合理、良好的設計和良好的安全習慣,我們可以把其安全風險控制在可以接受的范圍之內。
