集成式端到端的IP通信安全解决方案

来源：《思科技术透视》作者：出处：巧巧读书 2007-12-12 进入讨论组

访问 http://www.qqread.com/net-case/g791299808.html

基于融合数据、语音和视频的 IP网络之上的IP通信技术以其低成本、高灵活性和可管理性已经赢得了企业的关注和信赖，并促使他们作出投资。但是在将语音技术引入IP环境时，很多IT、电话和业务管理人员都担心它在面对攻击时的安全性。

语音通信需要与其他高水平安全数据应用同样严格的安全标准。语音呼叫中的信息-----战略性信息、个人信息或财务信息-----一旦被拦截，都可能会像数据通信被窃听一样造成破坏性的影响。而且，没有任何一个企业或服务供应商可以承受一次由于拒绝服务（DoS）而导致语音通信完全中断所造成的损失。语音通信不仅仍然是大部分企业的生命线，而且用户还必须凭借它在遇到紧急情况时获得服务。

传统语音通信的安全问题

虽然大多数有关信息安全的讨论都集中在数据网络，而语音网络其实也面临同样的安全问题。管理语音网络 /PBX/语音信箱的经理总是会遇到各种各样的源于内部和外部的安全风险（参加表1）。

表 1：传统语音通信的安全风险

安全风险	描述
长途电话欺诈	偷窃长途电话服务，通常以非法手段进入 PBX连接PSTN的中继线或者语音信箱来完成。
非授权用户的闯入	窜改语音系统、用户身份和电话配置，以及拦截语音留言
私密性的丢失	窃听和 /或拦截高级信息
拒绝服务（ DoS）	恶意攻击或者使呼叫处理设备过载，以阻止合法用户的服务访问

如果没有适当的安全措施，网络的任何部分?D?D包括语音系统－－都可能会受到非法攻击或者造成破坏性的影响。网络攻击可以造成很多问题，包括服务中断、泄密或者破坏通信的一致性和完整性，并且可以损坏公众形象和客户信心。不同类型的攻击，其带来的后果可以从轻度的干扰到彻底的系统瘫痪，恢复成本也可能从很少到需要重建的费用。

IP通信带来的新问题

IP通信系统与传统语音系统面临着同样的安全风险。具有讽刺意义的是，IP技术与生俱来的开放性虽然提供了更大的灵活性和更高的生产效率，但同时也为语音网络带来了新的安全问题。不管是渐进式的升级来支持IP技术还是直接迁移到纯IP语音解决方案，这些问题都是同样存在的。

一个与 IP语音有关的安全问题是意欲破坏语音通信的拒绝服务攻击。IP语音系统是部署在数据网络上的，因此IP语音系统是原先只攻击PC、服务器和数据应用的黑客们的潜在目标。IP语音系统的开放性和标准协议使得黑客们可以通过查找安全漏洞或安全缺陷来对其进行攻击。

IP语音面临的很多威胁（例如DoS）都与数据通信类似：病毒、蠕虫、特洛伊木马、中间人攻击、分组监听、IP电子欺骗、密码攻击、信任关系盗用等。同时也存在一些专门针对语音的攻击，例如长途电话欺诈。实际上，针对语音呼叫和与语音有关的系统攻击并不新鲜。（事实上，最早的电话系统黑客行为是所谓的“盗用电话线路”，即在电话线路上发送DTMF双音多频信号，以模拟呼叫控制信号和盗打电话）。传统的语音通信系统很容易受到DoS攻击、欺诈、窃听和其他安全漏洞的影响；它们也会威胁到IP语音。在IP网络中，黑客可能会试图闯入一个语音网关来拨打“免费”电话。为了窃取隐私，他或者她可以采用一种简称为VOMIT（基于错误配置的互联网电话的语音通信）的软件。该软件采用了独特的设计，可以充当一个有效的VoIP窃听工具，将通过UNIX工具tcpdump获取的IP语音重新组合成一个可听的语音文件。很多商用诊断工具会在合法的情况下利用这种功能诊断语音质量和其他服务参数。应用层攻击可能是专门针对呼叫管理、语音信箱和统一消息系统的。

对 IP网络有着全面深厚的知识和在识别和减轻IP基础设施威胁方面有着丰富经验的厂商，能够快速有效提高IP语音系统的安全性。这与传统语音系统是一个明显的对照，因为传统语音系统的缺陷往往是系统本身的并且很难发现，同时保护措施的开发也更加困难和耗费时间。

思科 IP通信安全解决方案：智能的自防御网络

思科的 IP通信安全解决方案是基于思科的自防御网络计划。这种创新的深入防御、多层面安全计划大大提高了网络识别、防御和对抗安全威胁的能力，使网络对于病毒传播、黑客攻击具有自我防御能力，同时从整个IP网络系统的层面通过集成式安全服务策略增强IP通信的安全。集成式网络安全能够通过IP语音和IP网络基础设施之间的紧密集成为话音资产提供全面的系统级保护。

图 1：思科采取系统级的网络安全方法，从三个基本安全原则出发，保护关键网络设备