VoIP的安全漏洞和防护(下)
北电网络李吴建
2004/07/01
解决VoIP安全漏洞的主要方法有以下几种:
1.将用于话音和数据传输的网络进行隔离
这里所说的隔离并不是指物理上的隔离,而是建议将所有的IP话机放到一个独立的VLAN当中,同时限制无关的PC终端进入该网段。通过很多评测者的反馈信息表明,划分VLAN是目前保护IP话音系统最为简单有效的方法,可以隔离病毒和简单的攻击。同时,配合数据网络的QoS设定,还将有助于提高话音质量。
2.将VoIP作为一种应用程序来看待
这也意味着我们需要采用一些适用于保护重要的应用服务器之类的手段,来保护VoIP设备中一些重要的端口和应用,例如采用北电网络Aleton交换防火墙就可以有效地抵御DoS的攻击。同样的办法也适用于VoIP系统,当两个IP终端进行通话时,一旦信令通过中心点的信令服务进程建立之后,媒体流只存在于两个终端之间;只有当IP终端上发起的呼叫需要透过网关进入PSTN公网时,才会占用媒体网关内的DSP处理器资源。所以,我们需要对信令和媒体流两类对外的地址和端口进行保护。同时,尽可能少保留所需要的端口,例如基于Web方式的管理地址,并且尽可能关闭不需要的服务进程。需要提醒的是,H.323/SIP在穿越NAT和防火墙的时候会遇到障碍,这是由于协议本身的原因造成的,但通过启用“应用层网关”之后,就可以解决这个问题;随着呼叫量的增长,可以采用外置媒体流代理服务器的办法来支持更大规模的VoIP系统。
3.选择合适的产品和解决方案目前不同厂家的产品体系构架不尽相同,操作平台也各有偏爱。我们无法断言哪种操作系统最为安全可靠,但厂家须有相应的技术保障来让用户相信各自的产品有能力抵御日益繁多的病毒侵袭。同时,很多厂家的产品也采用了管理网段和用户的IP话音网段在物理上隔离的机制,尽可能少地将端口暴露在外网上。北电网络推出的Succession1000/1000M就采用了这些设计思路,将管理网段和用户网段彻底在物理上隔离,并采用VxWorks操作系统,尽可能多地屏蔽外界对系统的影响。
4.话音数据流的加密目前H.323协议簇中有一成员H.235(又称为H.Secure)是负责身份验证、数据完整性和媒体流加密的。更实际的情况是厂家会选用各自私有的协议来保证VoIP的安全性。即使你获得了软件并且成功连接到公司的IP话音网段,仍然有可能一无所获。因为目前很多企业内部的数据网络都采用以太网交换机的10/100M端口到桌面而不是HUB,因而无法通过Sniffer的方式窃取信息。
但是,假设某人通过非法手段获得了网络的超级管理员权限,然后将IP话音网络的端口都镜像到自己装有Sniffer程序的PC网口上呢?这时就不仅仅是一个VoIP的安全问题了。但在利用VoIP方式作两点之间的中继互联时,仍然可以使用VPN技术保证信息的高保密性。北电网络已经帮助众多用户,在各类接入方式上实施了基于VPN的IP中继互联。
5.合理制定员工拨号权限很多厂家已经将传统交换机的丰富功能移植到了VoIP系统,这些功能将有效地抑制窃取登录密码进行盗打的现象。给IP电话设定能否拨打长途或特定号码的权限,或者是通过授权码的方式要求拨打长途号码前必须输入正确的若干位密码等方式,可以简单解决上述问题。
IP网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,VoIP所面临的一些安全隐患,实际是IP网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,基于VoIP的应用才能够在企业中持久稳定地发挥作用,并成为解决企业话音通信需求的有效方法。
中国信息产业网(www.cnii.com.cn)