首頁>>>技術(shù)>>>VoIP

淺談企業(yè)該如何保護(hù)VOIP安全?

鄒錚 2008/10/15

  隨著信息建設(shè)的快速發(fā)展,VIOP解決方案得到更多的應(yīng)用,本文將討論如何在遵守安全框架的同時(shí)部署VOIP解決方案以及部署VOIP時(shí)我們將面臨的挑戰(zhàn)。

  信息化進(jìn)程的加快,使VOIP解決方案得到更多應(yīng)用,IT管理者不得不需要更多地將注意力放在VOIP上。這個(gè)將綜合語音整合到IT/IS系統(tǒng)的創(chuàng)舉存在很大的安全問題,我們需要正確理解這一過程,才能部署合理的應(yīng)對(duì)措施。本文將討論如何在遵守安全框架的同時(shí)部署VOIP解決方案以及部署VOIP時(shí)我們將面臨的挑戰(zhàn)。

  現(xiàn)今的VOIP狀況

  隨著技術(shù)的不斷發(fā)展,解決方案的價(jià)格開始下降,而且解決方案所提供的功能也越來越豐富,越來越多的人和公司開始部署這些價(jià)格更便宜并且更易于使用的解決方案。但是美中不足的是,安全方面還需要花費(fèi)一定時(shí)間才能跟上解決方案發(fā)展的步伐,安全部分總是事后才被附加在解決方案上的。這對(duì)于那些合并了VOIP功能的解決方案確實(shí)是事實(shí)。出于這個(gè)原因我們應(yīng)該考慮部署一個(gè)安全框架來保證解決方案的實(shí)施。當(dāng)今的各種設(shè)備已經(jīng)足夠強(qiáng)大能夠處理當(dāng)前和將來的加密密碼,這就是加密技術(shù)成為可行。

  身份驗(yàn)證問題

  在用戶可以使用VOIP服務(wù)之前,他們將需要進(jìn)行身份驗(yàn)證,以確認(rèn)他們的身份能夠使用該服務(wù)。這個(gè)過程似乎很簡(jiǎn)單,但是也需要理解一些問題,并且還需要克服一些困難。身份認(rèn)證機(jī)制應(yīng)該是結(jié)構(gòu)化的,首先設(shè)備能夠得到確認(rèn)和驗(yàn)證,其次是用戶。只要設(shè)備得到確認(rèn)和驗(yàn)證,那么該設(shè)備就可以邏輯化地轉(zhuǎn)移到VLAN上,在這個(gè)時(shí)候交換機(jī)上的安全政策就可以執(zhí)行加密,這就是說用戶提供的任何身份驗(yàn)證憑證都是在加密狀況下進(jìn)行的,從而保障安全狀態(tài)。

  當(dāng)涉及到身份驗(yàn)證問題時(shí),身份管理是與驗(yàn)證齊頭并進(jìn)的問題。利用現(xiàn)有的認(rèn)證目錄是十分重要的,例如AD或者其他類型的LDAP目錄等。這樣現(xiàn)有的投資能夠得到平衡,并且整合了新技術(shù)的原有機(jī)制也繼續(xù)被使用,既節(jié)省時(shí)間又能改善安全狀況,供應(yīng)商們正在努力加強(qiáng)機(jī)制的安全性。

  保密

  為了解決保密問題,首先技術(shù)控制就是繼續(xù)采用加密技術(shù),這樣能夠確保通信的安全性并且能夠確保未經(jīng)批準(zhǔn)的用戶無法進(jìn)入通信過程。當(dāng)通信流量跨越多個(gè)不受你們公司控制的網(wǎng)關(guān)時(shí),這種保密的復(fù)雜性就會(huì)顯露出來。這就是為什么需要充分利用符合標(biāo)準(zhǔn)并且很容易配置的技術(shù)的原因,只有這樣才能夠確保VOIP數(shù)據(jù)包能夠在數(shù)據(jù)包的整個(gè)“人生”中都保持加密狀態(tài)。

  另一件需要注意的事情就是擴(kuò)展數(shù)據(jù)包大小可能會(huì)導(dǎo)致延遲,你可以通過為運(yùn)輸方式選擇不正確的加密類型來實(shí)現(xiàn)這一點(diǎn)。

  協(xié)議

  在現(xiàn)代VOIP部署中有這樣一些常見的協(xié)議,包括RTP, SRTP, ZRTP以及MIKEY等,這些協(xié)議使用AES加密技術(shù)(后臺(tái)模式)來保障安全性。

  SIP(會(huì)議信息協(xié)議)作為首選的VOIP協(xié)議開始越來越多地被采用,該協(xié)議運(yùn)作的方式可以在會(huì)議初始化協(xié)議及其功能中找到。使用SIP客戶端,用戶可以創(chuàng)建一個(gè)綁定到SIP服務(wù)器的身份認(rèn)證,這個(gè)身份可以用來登陸到服務(wù)器,而且可以將它作為一個(gè)網(wǎng)關(guān)來分配來自內(nèi)部和外部的呼叫,本地的或者遠(yuǎn)程都可以實(shí)現(xiàn),這就使遠(yuǎn)程操控成為可能。利用NISC框架中提出的安全機(jī)制,IT專業(yè)人士們可以向他們的用戶群提供這些功能,然后用戶就可以安全登陸,使用SIP客戶端來進(jìn)行通信。供應(yīng)商如思科、Mitel、Avaya和很多其他供應(yīng)商都有SIP協(xié)議為基礎(chǔ)的解決方案,并且同時(shí)也在開發(fā)SIP基礎(chǔ)的解決方案。

  在討論加密技術(shù)問題時(shí),密鑰管理始終是需要注意的部分,SRTP減輕了密鑰管理作為單一萬能密鑰的負(fù)擔(dān),密鑰管理既要為保密性保護(hù)加密材料又要為完整性加密材料,并且同時(shí)需要處理SRTP流以及相對(duì)應(yīng)的SRTCP流。在某些情況下單一萬能密鑰能夠同時(shí)保護(hù)幾個(gè)SRTP流。

  一些新協(xié)議如RSIP(域特定協(xié)議)將有助于解決NAT/Ipsec復(fù)雜性等挑戰(zhàn)性問題,下一代IP協(xié)議(IPNL)可以在通信雙方提供一個(gè)溝通渠道的解決方案,這樣會(huì)使未來的通信過程更加安全、快捷和有效。

  提示

  當(dāng)選擇VOIP解決方案或者網(wǎng)關(guān)的時(shí)候,確保你選擇的解決方案能夠支持H.323協(xié)議

  網(wǎng)絡(luò)

  建設(shè)一個(gè)安全的VOIP網(wǎng)絡(luò)需要深入研究VOIP硬件和軟件,這樣才能使VOIP網(wǎng)絡(luò)本身有實(shí)現(xiàn)協(xié)調(diào)的可能性。為了操作的簡(jiǎn)便性,將VOIP網(wǎng)絡(luò)分配進(jìn)入其孤立的網(wǎng)絡(luò)要容易得多,只將網(wǎng)絡(luò)的組件連接到合適的公司數(shù)據(jù)網(wǎng)絡(luò),并且通過一定的安全方式(如應(yīng)用層防火墻)。這是為了確保VOIP網(wǎng)絡(luò)中的任何軟點(diǎn)都不會(huì)輕易被利用,并且嚴(yán)格的訪問控制機(jī)制能夠管理你的企業(yè)局域網(wǎng)和VOIP網(wǎng)絡(luò)間的通信流量。

  網(wǎng)絡(luò)網(wǎng)絡(luò)對(duì)于網(wǎng)絡(luò)虛擬專用網(wǎng)而言是必不可少的,能夠確保網(wǎng)絡(luò)通信流量的安全性,而且能夠保持其完整性。

  無線

  在討論安全問題時(shí),大家總會(huì)把目光投到無線,VOIP無線加密是強(qiáng)制性的,而且如果不是強(qiáng)制性的也會(huì)需要一個(gè)妥協(xié)來作為保障。在保護(hù)無線網(wǎng)絡(luò)安全問題上,IPSec是一個(gè)很好的對(duì)策,目前有一些正在運(yùn)行的項(xiàng)目主要就是在研究VOIP安全問題,如Phil Zimmermann公司的zfone項(xiàng)目。

  設(shè)備

  設(shè)備和服務(wù)器都需要保持物理上的安全,以確保其不被擅自使用。邏輯上的安全同樣也很重要,因?yàn)楝F(xiàn)在解決方案已經(jīng)開始適用于遠(yuǎn)程操控。電話賬戶與任何其他賬戶一樣都是一種資源,我們已經(jīng)聽說過很多關(guān)于賬戶如何通過遠(yuǎn)程操控被濫用的故事。因?yàn)榻y(tǒng)一身份管理的重要性,你需要確保你的用戶能夠像安全政策(行政控制)中所描述的一樣定期更改他們的密碼。

  最近英國電視節(jié)目中報(bào)道了盜賊如何對(duì)辦公電話進(jìn)行遠(yuǎn)程修改,從而偷竊用戶的身份驗(yàn)證憑證。

  另一種較常見的攻擊是,通過模擬服務(wù)器來獲取用戶的身份驗(yàn)證憑證,一旦發(fā)生這種情況,用戶將會(huì)被重定位直合法的服務(wù)器, 解決這種攻擊的對(duì)策是要保持合法服務(wù)器物理上的安全以及邏輯上的安全,而且用戶在進(jìn)行身份驗(yàn)證前需要對(duì)用戶或者客戶端軟件進(jìn)行驗(yàn)證。

  通訊和存儲(chǔ)

  對(duì)于任何VOIP解決方案,通訊和存儲(chǔ)經(jīng)常是被忽視的組成部分。前幾年常見這樣一種攻擊方式,就是通過在默認(rèn)網(wǎng)絡(luò)密碼框中輸入1234或者0000來遠(yuǎn)程登錄到某人的語音郵箱。這樣使你能夠訪問語音郵箱,但是事實(shí)上控制的要素可能將這一功能設(shè)置為允許遠(yuǎn)程控制,對(duì)策就是在該服務(wù)使用前強(qiáng)行更改密碼,這樣能夠確保該服務(wù)的安全運(yùn)行。存儲(chǔ)也可能受到攻擊,這會(huì)使解決方案變得很容易攻擊,應(yīng)該從物理上以及邏輯上保護(hù)存儲(chǔ),需要部署有效的措施來避免任何攻擊。

  總結(jié)

  在考慮VOIP安全解決方案時(shí),應(yīng)該要遵守現(xiàn)有的標(biāo)準(zhǔn),VOIP技術(shù)仍然在不斷發(fā)展,安全仍然需要不斷完善,并且安全還不是解決方案的組成部分。如果VOIP解決方案被合理地部署在網(wǎng)絡(luò),最終結(jié)果是將會(huì)出現(xiàn)一個(gè)更加安全更加可靠有效費(fèi)用更加合理的解決方案。

IT專家網(wǎng)



相關(guān)鏈接:
切勿大意 提防統(tǒng)一通信安全威脅 2008-10-15
VoIP服務(wù)的安全應(yīng)用管理方案 2008-10-14
統(tǒng)一通信的統(tǒng)籌創(chuàng)新 整合信息先加后減 2008-10-14
大唐高鴻:IP融合通信引領(lǐng)者 2008-10-13
網(wǎng)絡(luò)技術(shù)削減手機(jī)話費(fèi) VoIP電話成用戶第二種選擇 2008-10-10

分類信息: