如果实现VoIP,安全是个需要考虑的重要事项,因为VoIP中的每一节点都像计算机一样是可访问的。VoIP易遭受DoS攻击以及遭黑客入侵的网关会导致发生未经授权的免费呼叫、呼叫窃听和恶意呼叫重定向等问题。VoIP还带来某些特定的安全挑战。例如,必须对VoIP呼叫的两个部分(呼叫建立信息和实际呼叫媒体流)进行审查。事实上,仅今年所报道的与VoIP有关的安全事件数量就比2004年前所有年份所报道的总数还要多。
VoIP协议有几个。VoIP专家们可能会提倡不同的协议,因为这些协议各有优点,但在安全问题上,对大多数VoIP协议来说,却有几个需要共同考虑的事情:运用最佳的安全建议可以消除额外的风险和攻击。
VoIP的安全漏洞
VoIP基础设施需要添加专用交换机系统、网关、代理、注册和定位服务器以及拨打到IP骨干网的电话。每一个VoIP组件在数据网络上都像其他计算机一样是可寻址和可访问的。每一VoIP组件都包括一个运行软件的处理器和可能遭受攻击的TCP/IP堆栈。对数据通信的攻击可通过IP语音基础设施进行。针对脆弱的VoIP组件的DoS攻击会用虚假的语音通信拥塞网络,降低网络性能或中止语音和数据通信。此外,如果PC感染了截获LAN通信包的特洛伊木马病毒,基于PC的软电话就会非常容易遭到窃听。VoIP漏洞还可被利用来对DMZ(非军事区)中的服务器和主机发动bounce攻击。 简而言之,VoIP使语音通信面临与数据通信一样的安全威胁。同时,VoIP也带来了一些安全挑战。VoIP电话呼叫有两个组成部分—呼叫建立的交换信令信息和传输“语音”媒体流。 信令和媒体路径是分离的,需要在使用VoIP进行通信的两部分之间建立逻辑连接。
VoIP安全建议
以满足需求为前提 在使用不同协议和不同厂商VoIP设备问题上可能既会有赞成意见也会有反对意见。要确保所选择的设备能满足你的需求,改变需求以支持特定厂商的设备是非常危险的行为。
停止使用不必要的协议 一些协议的未知漏洞经常会被利用。没有必要启用不必要和未用过的协议和服务,为黑客提供更多的机会。
确保可管理性 由于VoIP基础设施中的每一组件都像任何计算机一样容易访问,因此都有可能遭受攻击。即便是电话和终端,所有VoIP系统都是在硬件基础上运行的软件系统,所以要确保能够管理这种基本的VoIP操作系统。
对远程操作进行认证 VoIP终端可进行远程升级和管理。要确保仅使用基于IP地址的惟一用户名。 最后所需要的是一个可管理服务的远程程序。
将VoIP服务和内部网络分开 有几种安全设备不能充分运行VoIP信令命令。因此,它们可能打开动态通信端口,使网络容易遭受bounce攻击。这会使攻击者侵入内部LAN中的其他关键业务组件。同时,应该用物理或逻辑分离器将VoIP和其他基于IP的基础设施分隔开来。
能够对VoIP进行检查的安全系统 此种安全系统必须能够审查VoIP流,分析呼叫状态并且检查服务内容,以确保所有参数是一致的。
除了以上的问题需要考虑外,还应该考虑网络地址转换(NAT)对VoIP流量造成的影响。
来源:网络世界