|
对策
VoIP是一种新的、不同类型的Internet应用,但它归根结底是另一种利用IP提交的实时数据流。很多目前广泛用于保护其他应用(从Telnet和FTP到Web、电子邮件和即时消息)的安全措施,可被用于提高VoIP安全。
大多数VoIP服务应用运行在商用服务器操作系统上。加固服务器、使用反窃听和主机入侵检测技术,可改进企业的基本VoIP安全。最常见的、被广泛建议使用的语音应用服务器安全措施包括:
● 用最新的补丁修补操作系统和VoIP应用程序
● 只运行提供和维护VoIP服务所需的应用程序
● 对管理和用户账户访问进行更强认证
● 只开通维护和正确操作所需的用户账户,以阻止强行入侵
● 实施严格的认证政策,阻止对VoIP服务和账户数据的非法访问
● 审计管理用户会话和相关的服务活动
● 安装和维护服务器防火墙、反恶意软件程序和防窃听措施来阻止DoS攻击
● 安全地配置VoIP应用来防止滥用。例如,可呼叫国家代码的白名单可以阻止某些可能导致话费欺诈与非法使用的呼叫转发、转移。
一旦VoIP服务器和它们运行的应用得到可靠配置,应当围绕服务器添加多层安全防线来建立纵深防御。利用分离的物理或虚拟LAN(VLAN)来传送管理、语音和数据流,将VoIP服务器和所需要的基础设施(例如DNS、LDAP)与客户终端(电话、PC和便携机)隔离。
利用防火墙把可能跨越VLAN边界的传输流类型限制在只有那些必要的协议范围之内。这种隔离对于减少恶意软件由被传染的客户机向单一操作系统(比如Windows)网络的传播尤其有效。这种作法常常导致每个隔离防火墙中的安全策略比用户在单个防火墙中必须维护的策略更为简单。
分段是一种功能强大的安全工具,因此不要止步于此。同样这些用于加强安全的分段方法可被用于实现QoS:例如,把SIP电话限制在它们自己的VLAN上,有助于将VoIP限制在获得许可的设备上,并且在当IP从网络边缘向核心传送时赋予VoIP更高的优先级。
应当考虑将语音用户代理(硬电话)与用于访问网络数据应用程序的PC和便携机隔离开。这可以防止针对某一数据段的成功攻击传播和干扰语音系统。在应用分段和基于策略的隔离时,防火墙的性能可能成为问题,因此,应当谨慎规划,避免给传送媒体流的路径增加延时。
终端安全为VoIP部署增加了一层外围安全防线。IEEE 802.1x基于端口的网络访问控制和等价的网络访问技术,在设备通过安全检查前,阻止设备使用LAN或WLAN,又建立了一层授权控制防线。
管理人员可以选择阻止传染上恶意软件或不满足其他访问标准(如是否安装了最新补丁和恰当配置的防火墙)的设备。他们可以将不符合要求的设备改向连接在一个提供有限服务的隔离LAN网段上,或改向连接在一条LAN上,在这条LAN上,软电话用户可以访问满足访问标准所需的软件、补丁和恶意软件特性更新包。在很多情况下,这些安全措施可在认证之前实行,以阻止恶意软件(键盘记录器)捕获用户的证明信息。
利用防火墙执行安全策略的公司可能发现他们目前的防火墙不适合于完成保护语音和数据安全的任务。传统的防火墙在设计上根据TCP、用户数据报协议(UDP)和IP包头信息(例如IP地址、协议类型和端口号),允许或拒绝传输流。
VoIP协议使用很大范围的UDP端口并动态将它们分配给媒体流。很多传统的防火墙不能在不被VoIP使用或其他滥用大量的永久开放端口号的条件下适应这种行为。某些防火墙不能高效率地处理UDP;另一些防火墙不支持控制时延和抖动的QoS措施,使VoIP呼叫具有电信级的语音质量。
IT管理人员应当考虑选择这样的防火墙:具有SIP识别能力、可以检测和保护SIP信令消息、并且在不增加显著时延的情况下就可以处理RTP媒体流。
应用层网关(代理服务器)能够在VoIP部署中发挥有益的作用。将SSL隧道技术集成到SIP代理服务器中,正在成为一种改进认证和增加用户代理与SIP代理服务器之间交换信息的保密性与完整性保护的流行方式。
很多企业正在考虑建立SSL连接,以保护企业内部以及企业间SIP代理服务器之间的信令传输流。如果企业用户必须在全局和本地RTP IP地址和端口间中继媒体流,RTP代理服务器可能是其合适的选择。另一些企业将选择利用他们在IPSec中的投资来保护站点间的VoIP传输流。
在一些配置中,企业可以尝试建立为语音流分配高于数据优先级的IPSec安全联系,优先处理VoIP传输流。一些企业可能希望过滤经过会话边界控制器(SBC)的信令传输流和RTP媒体流。SBC作为“背对背”用户代理来运行,连接和把策略应用于公共与专用用户代理之间的呼叫。SBC在一些方面行为就像是一台安全的电子邮件代理服务器。它可以重写消息头,隐藏专用网络的细节(如地址),剥除未知的和不符合要求的包头SIP域并限制被叫方的号码。由于媒体传输流经过SBC传送,因此可以对它们执行RTP策略。
这些安全措施以及主动的安全监测和入侵检测与防御方案,不仅将改进VoIP安全,而且还可以大大降低企业在引进VoIP时给数据网络带来的风险,甚至在VoIP协议和架构中集成了安全增强功能后,其中的很多措施仍将继续在部署中发挥作用。
编看编想 顶盔贯甲的武士
VoIP从应用之初就开始面临着方方面面安全的危胁。以至于用户们不得不时时刻刻小心那些来自电话线路盗用者、电话欺诈、嗅探器、广播风暴、无线电干扰等威胁对其VoIP网络的突袭。然而袭击总是防不胜防的。因此,到目前为止,还没有一种安全的解决方案能够解决VoIP用户面临的所有安全问题。
不过话说回来,层出不穷的威胁也使网络和VoIP提供商为用户想得极尽周全,从终端、网络、协议到策略,VoIP已经被“武装到了牙齿”。可以想象一个”顶盔贯甲“的VoIP“武士“还是有足够防御能力的。只是太多的”甲胄“可能会占用较多的资源,也会显得行动不便。
|
