《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 設(shè)計(jì)應(yīng)用 > 確保VoIP協(xié)議應(yīng)用下網(wǎng)絡(luò)安全
確保VoIP協(xié)議應(yīng)用下網(wǎng)絡(luò)安全
摘要: VoIP指的是在使用了互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡(luò)上進(jìn)行語(yǔ)音傳輸,,其中的IP是代表互聯(lián)網(wǎng)協(xié)議,,它是互聯(lián)網(wǎng)的中樞,互聯(lián)網(wǎng)協(xié)議可以將電子郵件,、即時(shí)信息以及網(wǎng)頁(yè)傳輸?shù)匠汕先f(wàn)的PC或者手機(jī)上,。所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會(huì)影響到VoIP網(wǎng)絡(luò),,如病毒、垃圾郵件,、非法侵入,、DoS、劫持電話,、偷聽(tīng),、數(shù)據(jù)嗅探等。唯一的不同是,,我們更樂(lè)于采取一些措施來(lái)保護(hù)其它的網(wǎng)絡(luò),。對(duì)于VoIP,卻鮮有什么具體措施,。事實(shí)上,,只有我們采取一些保護(hù)措施,這項(xiàng)技術(shù)才可能取得真正的成功,。
Abstract:
Key words :

       VoIP" title="VoIP">VoIP指的是在使用了互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡(luò)" title="網(wǎng)絡(luò)">網(wǎng)絡(luò)上進(jìn)行語(yǔ)音傳輸,,其中的IP是代表互聯(lián)網(wǎng)協(xié)議,它是互聯(lián)網(wǎng)的中樞,,互聯(lián)網(wǎng)協(xié)議可以將電子郵件,、即時(shí)信息以及網(wǎng)頁(yè)傳輸?shù)匠汕先f(wàn)的PC或者手機(jī)上。所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會(huì)影響到VoIP網(wǎng)絡(luò),,如病毒,、垃圾郵件、非法侵入,、DoS,、劫持電話、偷聽(tīng),、數(shù)據(jù)嗅探等,。唯一的不同是,我們更樂(lè)于采取一些措施來(lái)保護(hù)其它的網(wǎng)絡(luò),。對(duì)于VoIP,,卻鮮有什么具體措施。事實(shí)上,,只有我們采取一些保護(hù)措施,,這項(xiàng)技術(shù)才可能取得真正的成功,。

  下面探討可以保護(hù)VoIP的方法:

  1、限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€(gè)VLAN上

  Cisco建議對(duì)語(yǔ)音和數(shù)據(jù)分別劃分VLAN,,這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數(shù)據(jù),。劃分VLAN也有助于防御費(fèi)用欺詐、DoS攻擊,、竊聽(tīng),、劫持通信" title="通信">通信等。VLAN的劃分使用戶的計(jì)算機(jī)形成了一個(gè)有效的封閉的圈子,,它不允許任何其它計(jì)算機(jī)訪問(wèn)其設(shè)備,,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò)也就相當(dāng)安全,;即使受到攻擊,,也會(huì)將損失降到最低。

  2,、監(jiān)控并跟蹤VoIP網(wǎng)絡(luò)的通信模式

  監(jiān)控工具和入侵探測(cè)系統(tǒng)能幫助用戶識(shí)別那些侵入VoIP網(wǎng)絡(luò)的企圖,。詳細(xì)觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西,如莫名其妙的國(guó)際電話或是本公司或組織基本不聯(lián)系的國(guó)際電話,,多重登錄試圖破解密碼,,語(yǔ)音暴增等。

  3,、保護(hù)VoIP服務(wù)器

  必須采取效措施來(lái)保障服務(wù)器的安全以抵御來(lái)自內(nèi)部或外部的入侵者用嗅探技術(shù)來(lái)截獲數(shù)據(jù),。因?yàn)閂oIP電話機(jī)擁有固定的IP地址和MAC地址,所以攻擊者易于據(jù)此潛入,。建議用戶限制IP和MAC地址,,不允許隨便訪問(wèn)VoIP系統(tǒng)的超級(jí)用戶界面,,并在SIP網(wǎng)關(guān)之前建立另一道防火墻,,這樣就會(huì)在一定程度上限制對(duì)于網(wǎng)絡(luò)系統(tǒng)的侵入。

  4,、使用多重加密

  僅僅對(duì)發(fā)送的數(shù)據(jù)包加密是遠(yuǎn)遠(yuǎn)不夠的,,必須對(duì)所有的電話信號(hào)進(jìn)行加密。對(duì)話音加密會(huì)防止攔截者的語(yǔ)音插入到用戶會(huì)話中,。在這方面,,SRTP協(xié)議能夠?qū)Χ它c(diǎn)通信加密,TLS能夠?qū)φ麄€(gè)通信過(guò)程加密,。應(yīng)該通過(guò)在網(wǎng)關(guān),、網(wǎng)絡(luò)、主機(jī)層面上提供強(qiáng)大的保護(hù)來(lái)支持語(yǔ)音傳輸加密,。

  5,、建立VoIP網(wǎng)絡(luò)的冗余機(jī)制

  要時(shí)刻準(zhǔn)備著可能會(huì)遭到病毒,、DoS攻擊,它們可能會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓,。構(gòu)建能夠設(shè)置多層節(jié)點(diǎn),、網(wǎng)關(guān)、服務(wù)器,、電源及呼叫路由器的網(wǎng)絡(luò)系統(tǒng),,并與不只一個(gè)供應(yīng)商互聯(lián)。經(jīng)常性的對(duì)各個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行考驗(yàn),,確保其工作良好,,當(dāng)主服務(wù)網(wǎng)絡(luò)癱瘓時(shí),備用設(shè)施可以迅速接管工作,。

  6,、將內(nèi)部網(wǎng)絡(luò)與Internet分開(kāi)

  將電話管理系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)置于國(guó)際互聯(lián)網(wǎng)絡(luò)直接訪問(wèn)之外是一個(gè)不錯(cuò)的選擇,將語(yǔ)音服務(wù)與其它服務(wù)器置于相分離的域中,,并限制對(duì)其訪問(wèn),。

  7、將軟終端電話(softphone)的使用減至最少

  VoIP軟終端電話易于遭受電腦黑客攻擊,,即使它位于公司防火墻之后,,因?yàn)檫@種東西是與普通的PC、VoIP軟件及一對(duì)耳機(jī)一起使用的,。而且,,軟終端電話并沒(méi)有將語(yǔ)音和數(shù)據(jù)分開(kāi),因此,,易于受到病毒和蠕蟲(chóng)的攻擊,。

  8、使用提供數(shù)字安全證書(shū)的商家

  如果IP電話商能夠提供證明書(shū)來(lái)對(duì)設(shè)備進(jìn)行認(rèn)證,,用戶基本上可以確信其通信是安全的,,并且不會(huì)廣播到其它設(shè)備。

  9,、確保網(wǎng)關(guān)的安全

  要配置網(wǎng)關(guān),,使那些只有經(jīng)過(guò)允許的用戶才可以打出或接收VoIP電話,列示那些經(jīng)過(guò)鑒別和核準(zhǔn)的用戶,,這可以確保其它人不能占線打免費(fèi)電話,。通過(guò)SPI防火墻、應(yīng)用層網(wǎng)關(guān),、網(wǎng)絡(luò)地址轉(zhuǎn)換工具,、SIP對(duì)VoIP軟客戶端的支持等的組合,來(lái)保護(hù)網(wǎng)關(guān)和位于其后的局域網(wǎng)。

  10,、對(duì)于實(shí)際安全性進(jìn)行評(píng)估

  要確信只有經(jīng)過(guò)鑒別的設(shè)備和用戶,,才可以訪問(wèn)那些經(jīng)過(guò)限制的以太網(wǎng)端口。管理員常常被欺騙,,接授那些沒(méi)有經(jīng)過(guò)允許的軟終端電話的請(qǐng)求,,因?yàn)楹诳蛡兡軌蛲ㄟ^(guò)插入RJ44端口輕易地模仿IP地址和MAC地址。
 

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。