对一个语音网络而言,限制对介质访问以及对VoIP服务器和端点访问非常重要。
那些对介质有存取权限的入侵者们,可能是接上了一台交换机或集线器,也可能是直接转接电缆,或是对无线通信进行接听——通过使用一个“嗅探器”软件来捕获包含语音数据及信号等信息在内的所有的数据包。然后他们可以使用类似VOMIT这样易用的工具来对数据进行重新整合,从而实现对会话的窃听,他们甚至可以对通讯过程进行修改,并将之运用于语音重放攻击之中。
要达到限制对介质访问或对VoIP服务器和端点访问的目的,你得先将所有呼叫服务器都存放在一个上锁的房间中,以对所有和服务器有关的接触进行控制;而后限制对终端的接触(包括硬电话机,安装在电脑中的“软电话机”程序),并将线缆埋设在墙体中的管道里以保证它们自身的安全;最后你还要谨慎选择无线AP的位置,限制无线交流,限制信号强度,使用屏蔽材料将无线信号尽量阻挡在建筑物之内。
用IPSec加密网络层
你可以使用IPSec加密来保护网络中的VoIP数据;如果攻击者穿越了你的物理层防护措施,并截获了VoIP数据包,他们也无法破译其中的内容。IPSec使用认证头以及压缩安全有效载荷来为IP传输提供认证性、完整性以及机密性。
VoIP上的IPSec使用隧道模式,对两头终端的身份进行保护。IPSec可以让VoIP通讯比使用传统的电话线更安全。
用TLS锁定会话层
你还可以使用TLS来保护VoIP会话,TLS使用的是数字签名和公共密钥加密,这意味着每一个端点都必须有一个可信任的、由权威CA认证的签名。或者你也可以通过一个内部CA(比如一台运行了认证服务的Windows服务器)来进行企业内部的通话,并经由一个公共CA来进行公司之外的通话。
用SRTP保护应用层
你可以使用“安全RTP(SRTP)”来对应用层的介质进行加密。RFC 3711定义了SRTP,让它可以提供信息认证、机密性、回放保护、阻止对RTP数据流的拒绝服务式攻击等安全机制。通过SRTP,你可以对无线网和有线网上的VoIP通讯进行有效的保护。
总结
基于IP网络及其协议的公共性质,使得VoIP天生就具备相对于传统电话网而言更易受到攻击的特质。不过,通过采取一个仔细规划的、多层次的VoIP网络防护措施,企业就可以让VoIP网络的安全程度赶上甚至是超过传统的电话系统。
更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题,或进入讨论组讨论。
相关专题
- 层层设防保护VoIP安全 抵御隔墙之耳入侵 (0次浏览)
- 火暴中暗藏危机 2008年提防VoIP漏洞 (0次浏览)
- 2008年VoIP预测:统一通信进入中小企业 (0次浏览)
