首頁>>>技術>>>VoIP

淺談企業(yè)該如何保護VOIP安全?

鄒錚 2008/10/15

  隨著信息建設的快速發(fā)展,VIOP解決方案得到更多的應用,本文將討論如何在遵守安全框架的同時部署VOIP解決方案以及部署VOIP時我們將面臨的挑戰(zhàn)。

  信息化進程的加快,使VOIP解決方案得到更多應用,IT管理者不得不需要更多地將注意力放在VOIP上。這個將綜合語音整合到IT/IS系統的創(chuàng)舉存在很大的安全問題,我們需要正確理解這一過程,才能部署合理的應對措施。本文將討論如何在遵守安全框架的同時部署VOIP解決方案以及部署VOIP時我們將面臨的挑戰(zhàn)。

  現今的VOIP狀況

  隨著技術的不斷發(fā)展,解決方案的價格開始下降,而且解決方案所提供的功能也越來越豐富,越來越多的人和公司開始部署這些價格更便宜并且更易于使用的解決方案。但是美中不足的是,安全方面還需要花費一定時間才能跟上解決方案發(fā)展的步伐,安全部分總是事后才被附加在解決方案上的。這對于那些合并了VOIP功能的解決方案確實是事實。出于這個原因我們應該考慮部署一個安全框架來保證解決方案的實施。當今的各種設備已經足夠強大能夠處理當前和將來的加密密碼,這就是加密技術成為可行。

  身份驗證問題

  在用戶可以使用VOIP服務之前,他們將需要進行身份驗證,以確認他們的身份能夠使用該服務。這個過程似乎很簡單,但是也需要理解一些問題,并且還需要克服一些困難。身份認證機制應該是結構化的,首先設備能夠得到確認和驗證,其次是用戶。只要設備得到確認和驗證,那么該設備就可以邏輯化地轉移到VLAN上,在這個時候交換機上的安全政策就可以執(zhí)行加密,這就是說用戶提供的任何身份驗證憑證都是在加密狀況下進行的,從而保障安全狀態(tài)。

  當涉及到身份驗證問題時,身份管理是與驗證齊頭并進的問題。利用現有的認證目錄是十分重要的,例如AD或者其他類型的LDAP目錄等。這樣現有的投資能夠得到平衡,并且整合了新技術的原有機制也繼續(xù)被使用,既節(jié)省時間又能改善安全狀況,供應商們正在努力加強機制的安全性。

  保密

  為了解決保密問題,首先技術控制就是繼續(xù)采用加密技術,這樣能夠確保通信的安全性并且能夠確保未經批準的用戶無法進入通信過程。當通信流量跨越多個不受你們公司控制的網關時,這種保密的復雜性就會顯露出來。這就是為什么需要充分利用符合標準并且很容易配置的技術的原因,只有這樣才能夠確保VOIP數據包能夠在數據包的整個“人生”中都保持加密狀態(tài)。

  另一件需要注意的事情就是擴展數據包大小可能會導致延遲,你可以通過為運輸方式選擇不正確的加密類型來實現這一點。

  協議

  在現代VOIP部署中有這樣一些常見的協議,包括RTP, SRTP, ZRTP以及MIKEY等,這些協議使用AES加密技術(后臺模式)來保障安全性。

  SIP(會議信息協議)作為首選的VOIP協議開始越來越多地被采用,該協議運作的方式可以在會議初始化協議及其功能中找到。使用SIP客戶端,用戶可以創(chuàng)建一個綁定到SIP服務器的身份認證,這個身份可以用來登陸到服務器,而且可以將它作為一個網關來分配來自內部和外部的呼叫,本地的或者遠程都可以實現,這就使遠程操控成為可能。利用NISC框架中提出的安全機制,IT專業(yè)人士們可以向他們的用戶群提供這些功能,然后用戶就可以安全登陸,使用SIP客戶端來進行通信。供應商如思科、Mitel、Avaya和很多其他供應商都有SIP協議為基礎的解決方案,并且同時也在開發(fā)SIP基礎的解決方案。

  在討論加密技術問題時,密鑰管理始終是需要注意的部分,SRTP減輕了密鑰管理作為單一萬能密鑰的負擔,密鑰管理既要為保密性保護加密材料又要為完整性加密材料,并且同時需要處理SRTP流以及相對應的SRTCP流。在某些情況下單一萬能密鑰能夠同時保護幾個SRTP流。

  一些新協議如RSIP(域特定協議)將有助于解決NAT/Ipsec復雜性等挑戰(zhàn)性問題,下一代IP協議(IPNL)可以在通信雙方提供一個溝通渠道的解決方案,這樣會使未來的通信過程更加安全、快捷和有效。

  提示

  當選擇VOIP解決方案或者網關的時候,確保你選擇的解決方案能夠支持H.323協議

  網絡

  建設一個安全的VOIP網絡需要深入研究VOIP硬件和軟件,這樣才能使VOIP網絡本身有實現協調的可能性。為了操作的簡便性,將VOIP網絡分配進入其孤立的網絡要容易得多,只將網絡的組件連接到合適的公司數據網絡,并且通過一定的安全方式(如應用層防火墻)。這是為了確保VOIP網絡中的任何軟點都不會輕易被利用,并且嚴格的訪問控制機制能夠管理你的企業(yè)局域網和VOIP網絡間的通信流量。

  網絡網絡對于網絡虛擬專用網而言是必不可少的,能夠確保網絡通信流量的安全性,而且能夠保持其完整性。

  無線

  在討論安全問題時,大家總會把目光投到無線,VOIP無線加密是強制性的,而且如果不是強制性的也會需要一個妥協來作為保障。在保護無線網絡安全問題上,IPSec是一個很好的對策,目前有一些正在運行的項目主要就是在研究VOIP安全問題,如Phil Zimmermann公司的zfone項目。

  設備

  設備和服務器都需要保持物理上的安全,以確保其不被擅自使用。邏輯上的安全同樣也很重要,因為現在解決方案已經開始適用于遠程操控。電話賬戶與任何其他賬戶一樣都是一種資源,我們已經聽說過很多關于賬戶如何通過遠程操控被濫用的故事。因為統一身份管理的重要性,你需要確保你的用戶能夠像安全政策(行政控制)中所描述的一樣定期更改他們的密碼。

  最近英國電視節(jié)目中報道了盜賊如何對辦公電話進行遠程修改,從而偷竊用戶的身份驗證憑證。

  另一種較常見的攻擊是,通過模擬服務器來獲取用戶的身份驗證憑證,一旦發(fā)生這種情況,用戶將會被重定位直合法的服務器, 解決這種攻擊的對策是要保持合法服務器物理上的安全以及邏輯上的安全,而且用戶在進行身份驗證前需要對用戶或者客戶端軟件進行驗證。

  通訊和存儲

  對于任何VOIP解決方案,通訊和存儲經常是被忽視的組成部分。前幾年常見這樣一種攻擊方式,就是通過在默認網絡密碼框中輸入1234或者0000來遠程登錄到某人的語音郵箱。這樣使你能夠訪問語音郵箱,但是事實上控制的要素可能將這一功能設置為允許遠程控制,對策就是在該服務使用前強行更改密碼,這樣能夠確保該服務的安全運行。存儲也可能受到攻擊,這會使解決方案變得很容易攻擊,應該從物理上以及邏輯上保護存儲,需要部署有效的措施來避免任何攻擊。

  總結

  在考慮VOIP安全解決方案時,應該要遵守現有的標準,VOIP技術仍然在不斷發(fā)展,安全仍然需要不斷完善,并且安全還不是解決方案的組成部分。如果VOIP解決方案被合理地部署在網絡,最終結果是將會出現一個更加安全更加可靠有效費用更加合理的解決方案。

IT專家網


相關鏈接:
切勿大意 提防統一通信安全威脅 2008-10-15
VoIP服務的安全應用管理方案 2008-10-14
統一通信的統籌創(chuàng)新 整合信息先加后減 2008-10-14
大唐高鴻:IP融合通信引領者 2008-10-13
網絡技術削減手機話費 VoIP電話成用戶第二種選擇 2008-10-10

分類信息: