企業(yè)隨著互聯(lián)網(wǎng)的使用日益增多，交互性應(yīng)用也隨之被廣泛使用。然而廣泛的網(wǎng)絡(luò)交互使得企業(yè)的網(wǎng)絡(luò)安全性大幅度下降，VoIP數(shù)字化終端逐漸取代傳統(tǒng)的交互模式，但是保護(hù)VoIP的安全又成為了企業(yè)的首要任務(wù)。

VoIP安全之網(wǎng)絡(luò)層加密

你可以使用IPSec加密來(lái)保護(hù)網(wǎng)絡(luò)中的VoIP數(shù)據(jù)：如果攻擊者穿越了你的物理層防護(hù)措施，并截獲了VoIP數(shù)據(jù)包，他們也無(wú)法破譯其中的內(nèi)容。IPSec使用認(rèn)證頭以及壓縮安全有效載荷來(lái)為IP傳輸提供認(rèn)證性、完整性以及機(jī)密性。

VoIP上的IPSec使用隧道模式，對(duì)兩頭終端的身份進(jìn)行保護(hù)。IPSec可以讓VoIP通訊比使用傳統(tǒng)的電話(huà)線(xiàn)更安全。

VoIP安全之會(huì)話(huà)層鎖定

你還可以使用TLS來(lái)保護(hù)VoIP會(huì)話(huà)，TLS使用的是數(shù)字簽名和公共密鑰加密，這意味著每一個(gè)端點(diǎn)都必須有一個(gè)可信任的、由權(quán)威CA認(rèn)證的簽名?；蛘吣阋部梢酝ㄟ^(guò)一個(gè)內(nèi)部CA(比如一臺(tái)運(yùn)行了認(rèn)證服務(wù)的Windows服務(wù)器)來(lái)進(jìn)行企業(yè)內(nèi)部的通話(huà)，并經(jīng)由一個(gè)公共CA來(lái)進(jìn)行公司之外的通話(huà)。

VoIP安全之保護(hù)應(yīng)用層

你可以使用“安全RTP(SRTP)”來(lái)對(duì)應(yīng)用層的介質(zhì)進(jìn)行加密。RFC 3711定義了SRTP，讓它可以提供信息認(rèn)證、機(jī)密性、回放保護(hù)、阻止對(duì)RTP數(shù)據(jù)流的拒絕服務(wù)式攻擊等安全機(jī)制。通過(guò)SRTP，你可以對(duì)無(wú)線(xiàn)網(wǎng)和有線(xiàn)網(wǎng)上的VoIP通訊進(jìn)行有效的保護(hù)。

VoIP安全之建立VoIP網(wǎng)絡(luò)的冗余機(jī)制

要時(shí)刻準(zhǔn)備著可能會(huì)遭到病毒、DoS攻擊，它們可能會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。構(gòu)建能夠設(shè)置多層節(jié)點(diǎn)、網(wǎng)關(guān)、服務(wù)器、電源及呼叫路由器的網(wǎng)絡(luò)系統(tǒng)，并與不只一個(gè)供應(yīng)商互聯(lián)。經(jīng)常性的對(duì)各個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行考驗(yàn)，確保其工作良好，當(dāng)主服務(wù)網(wǎng)絡(luò)癱瘓時(shí)，備用設(shè)施可以迅速接管工作。

VoIP安全之配備專(zhuān)用防火墻

對(duì)一個(gè)IP網(wǎng)絡(luò)來(lái)說(shuō)，邊界保護(hù)通常意味著使用防火墻，不過(guò)一個(gè)老舊的防火墻是不適合VoIP網(wǎng)絡(luò)的。你需要一個(gè)特別設(shè)計(jì)的防火墻，他得能識(shí)別和分析VoIP協(xié)議，能對(duì)VoIP的數(shù)據(jù)包進(jìn)行深度檢查，并能分析VoIP的有效載荷以便發(fā)現(xiàn)所有和攻擊有關(guān)的蛛絲馬跡。

如果你的VoIP部署使用了SIP協(xié)議(Session Initiation Protocol)，那么防火墻就應(yīng)當(dāng)能執(zhí)行下述操作：監(jiān)視進(jìn)出的SIP信息，以便發(fā)現(xiàn)應(yīng)用程式層次上的攻擊;支持TLS(傳輸層安全);執(zhí)行基于SIP的NAT及介質(zhì)端口管理;檢測(cè)非正常的呼叫模式;記錄SIP信息的詳情，特別是未經(jīng)授權(quán)的呼叫。

VoIP安全之內(nèi)外網(wǎng)隔離

將電話(huà)管理系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)置于國(guó)際互聯(lián)網(wǎng)絡(luò)直接訪(fǎng)問(wèn)之外是一個(gè)不錯(cuò)的選擇，將語(yǔ)音服務(wù)與其它服務(wù)器置于相分離的域中，并限制對(duì)其訪(fǎng)問(wèn)。

VoIP安全之盡量減少軟終端

VoIP軟終端電話(huà)易于遭受電腦黑客攻擊，即使它位于公司防火墻之后，因?yàn)檫@種東西是與普通的PC、VoIP軟件及一對(duì)耳機(jī)一起使用的。而且，軟終端電話(huà)并沒(méi)有將語(yǔ)音和數(shù)據(jù)分開(kāi)，因此，易于受到病毒和蠕蟲(chóng)的攻擊。

VoIP安全之限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€(gè)VLAN上

Cisco建議對(duì)語(yǔ)音和數(shù)據(jù)分別劃分VLAN，這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數(shù)據(jù)。劃分VLAN也有助于防御費(fèi)用欺詐、DoS攻擊、竊聽(tīng)、劫持通信等。VLAN的劃分使用戶(hù)的計(jì)算機(jī)形成了一個(gè)有效的封閉的圈子，它不允許任何其它計(jì)算機(jī)訪(fǎng)問(wèn)其設(shè)備，從而也就避免了電腦的攻擊，VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊，也會(huì)將損失降到最低。

VoIP安全之監(jiān)控并跟蹤網(wǎng)絡(luò)的通信模式

監(jiān)控工具和入侵探測(cè)系統(tǒng)能幫助用戶(hù)識(shí)別那些侵入VoIP網(wǎng)絡(luò)的企圖。詳細(xì)觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西，如莫名其妙的國(guó)際電話(huà)或是本公司或組織基本不聯(lián)系的國(guó)際電話(huà)，多重登錄試圖破解密碼，語(yǔ)音暴增等。

VoIP安全之定期進(jìn)行安全

要確信只有經(jīng)過(guò)鑒別的設(shè)備和用戶(hù)，才可以訪(fǎng)問(wèn)那些經(jīng)過(guò)限制的以太網(wǎng)端口。管理員常常被欺騙，接授那些沒(méi)有經(jīng)過(guò)允許的軟終端電話(huà)的請(qǐng)求，因?yàn)楹诳蛡兡軌蛲ㄟ^(guò)插入RJ44端口輕易地模仿IP地址和MAC地址。

總結(jié)

基于IP網(wǎng)絡(luò)及其協(xié)議的公共性質(zhì)，使得VoIP天生就具備相對(duì)于傳統(tǒng)電話(huà)網(wǎng)而言更易受到攻擊的特質(zhì)。不過(guò)，通過(guò)采取一個(gè)仔細(xì)規(guī)劃的、多層次的VoIP網(wǎng)絡(luò)防護(hù)措施，企業(yè)就可以讓VoIP網(wǎng)絡(luò)的安全程度趕上甚至是超過(guò)傳統(tǒng)的電話(huà)系統(tǒng)。
 

【編輯推薦】

1. Web專(zhuān)用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)