VoIP安全檢查要點(diǎn)
2004/12/02
如果實(shí)現(xiàn)VoIP����,安全是個(gè)需要考慮的重要事項(xiàng)��,因?yàn)閂oIP中的每一節(jié)點(diǎn)都像計(jì)算機(jī)一樣是可訪問(wèn)的�。VoIP易遭受DoS攻擊以及遭黑客入侵的網(wǎng)關(guān)會(huì)導(dǎo)致發(fā)生未經(jīng)授權(quán)的免費(fèi)呼叫、呼叫竊聽(tīng)和惡意呼叫重定向等問(wèn)題���。VoIP還帶來(lái)某些特定的安全挑戰(zhàn)�。例如�,必須對(duì)VoIP呼叫的兩個(gè)部分(呼叫建立信息和實(shí)際呼叫媒體流)進(jìn)行審查。事實(shí)上�,僅今年所報(bào)道的與VoIP有關(guān)的安全事件數(shù)量就比2004年前所有年份所報(bào)道的總數(shù)還要多���。
VoIP協(xié)議有幾個(gè)。VoIP專家們可能會(huì)提倡不同的協(xié)議����,因?yàn)檫@些協(xié)議各有優(yōu)點(diǎn),但在安全問(wèn)題上���,對(duì)大多數(shù)VoIP協(xié)議來(lái)說(shuō)�,卻有幾個(gè)需要共同考慮的事情:運(yùn)用最佳的安全建議可以消除額外的風(fēng)險(xiǎn)和攻擊����。
VoIP的安全漏洞
VoIP基礎(chǔ)設(shè)施需要添加專用交換機(jī)系統(tǒng)、網(wǎng)關(guān)�、代理、注冊(cè)和定位服務(wù)器以及撥打到IP骨干網(wǎng)的電話�。每一個(gè)VoIP組件在數(shù)據(jù)網(wǎng)絡(luò)上都像其他計(jì)算機(jī)一樣是可尋址和可訪問(wèn)的���。每一VoIP組件都包括一個(gè)運(yùn)行軟件的處理器和可能遭受攻擊的TCP/IP堆棧�。對(duì)數(shù)據(jù)通信的攻擊可通過(guò)IP語(yǔ)音基礎(chǔ)設(shè)施進(jìn)行�。針對(duì)脆弱的VoIP組件的DoS攻擊會(huì)用虛假的語(yǔ)音通信擁塞網(wǎng)絡(luò),降低網(wǎng)絡(luò)性能或中止語(yǔ)音和數(shù)據(jù)通信��。此外,如果PC感染了截獲LAN通信包的特洛伊木馬病毒����,基于PC的軟電話就會(huì)非常容易遭到竊聽(tīng)。VoIP漏洞還可被利用來(lái)對(duì)DMZ(非軍事區(qū))中的服務(wù)器和主機(jī)發(fā)動(dòng)bounce攻擊��。
簡(jiǎn)而言之��,VoIP使語(yǔ)音通信面臨與數(shù)據(jù)通信一樣的安全威脅���。同時(shí)�����,VoIP也帶來(lái)了一些安全挑戰(zhàn)�����。VoIP電話呼叫有兩個(gè)組成部分—呼叫建立的交換信令信息和傳輸“語(yǔ)音”媒體流��。
信令和媒體路徑是分離的���,需要在使用VoIP進(jìn)行通信的兩部分之間建立邏輯連接。
VoIP安全建議
以滿足需求為前提 在使用不同協(xié)議和不同廠商VoIP設(shè)備問(wèn)題上可能既會(huì)有贊成意見(jiàn)也會(huì)有反對(duì)意見(jiàn)。要確保所選擇的設(shè)備能滿足你的需求����,改變需求以支持特定廠商的設(shè)備是非常危險(xiǎn)的行為。
停止使用不必要的協(xié)議 一些協(xié)議的未知漏洞經(jīng)常會(huì)被利用�。沒(méi)有必要啟用不必要和未用過(guò)的協(xié)議和服務(wù),為黑客提供更多的機(jī)會(huì)��。
確���?晒芾硇 由于VoIP基礎(chǔ)設(shè)施中的每一組件都像任何計(jì)算機(jī)一樣容易訪問(wèn)�����,因此都有可能遭受攻擊�。即便是電話和終端����,所有VoIP系統(tǒng)都是在硬件基礎(chǔ)上運(yùn)行的軟件系統(tǒng),所以要確保能夠管理這種基本的VoIP操作系統(tǒng)�����。
對(duì)遠(yuǎn)程操作進(jìn)行認(rèn)證 VoIP終端可進(jìn)行遠(yuǎn)程升級(jí)和管理�����。要確保僅使用基于IP地址的惟一用戶名�����。 最后所需要的是一個(gè)可管理服務(wù)的遠(yuǎn)程程序��。
將VoIP服務(wù)和內(nèi)部網(wǎng)絡(luò)分開(kāi) 有幾種安全設(shè)備不能充分運(yùn)行VoIP信令命令����。因此,它們可能打開(kāi)動(dòng)態(tài)通信端口��,使網(wǎng)絡(luò)容易遭受bounce攻擊�。這會(huì)使攻擊者侵入內(nèi)部LAN中的其他關(guān)鍵業(yè)務(wù)組件。同時(shí)�,應(yīng)該用物理或邏輯分離器將VoIP和其他基于IP的基礎(chǔ)設(shè)施分隔開(kāi)來(lái)。
能夠?qū)oIP進(jìn)行檢查的安全系統(tǒng) 此種安全系統(tǒng)必須能夠?qū)彶閂oIP流����,分析呼叫狀態(tài)并且檢查服務(wù)內(nèi)容,以確保所有參數(shù)是一致的�。
除了以上的問(wèn)題需要考慮外,還應(yīng)該考慮網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)對(duì)VoIP流量造成的影響����。
網(wǎng)絡(luò)世界(cnw.ccw.com.cn)