怎樣保護(hù)VoIP網(wǎng)絡(luò)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

安全性在任何情況下都是非常重要的，不過(guò)，當(dāng)用戶(hù)更換世界上最老、最大、最有彈性和最可用的通信網(wǎng)絡(luò)時(shí)，安全性顯得尤其重要。盡管沒(méi)有一個(gè)安全措施能完全消除針對(duì)VoIP部署的攻擊，但一種多層次的方式，可以有效地減少攻擊取得成功的可能性。

威脅

企業(yè)VoIP用戶(hù)和服務(wù)提供者容易受到假冒攻擊的襲擊，其中的很多攻擊與“電話線路盜用者”針對(duì)傳統(tǒng)電話和蜂窩服務(wù)所使用的方法沒(méi)有什么兩樣，這些攻擊的目標(biāo)偷也是一樣的，即偷竊身份與信息，以及詐騙話費(fèi)。

很多攻擊將重點(diǎn)放在VoIP終端上。操作系統(tǒng)、Internet協(xié)議、應(yīng)用程序以及VoIP硬電話和運(yùn)行軟電話的管理界面容易受到非法接入、病毒與蠕蟲(chóng)和很多拒絕服務(wù)（DoS）的攻擊。這些攻擊往往利用通用Internet協(xié)議以及VoIP協(xié)議本身進(jìn)行。

VoIP使用IETF會(huì)話發(fā)起協(xié)議（SIP）和實(shí)時(shí)傳輸協(xié)議（RTP）提交呼叫信令和語(yǔ)音消息。這些協(xié)議以及補(bǔ)充性會(huì)話描述和RTP控制協(xié)議(SDP、RTCP)，沒(méi)有在呼叫信令和呼叫數(shù)據(jù)（如包含壓縮和編碼語(yǔ)音的媒體流）上提供足夠的主叫方認(rèn)證、端到端的完整性保護(hù)和保密措施。在這些安全特性部署到服務(wù)之前，攻擊者有很多可利用的漏洞。

目前，SIP和RTP協(xié)議沒(méi)有加密呼叫信令包和語(yǔ)音流，因此，呼叫者的身份、證明信息和SIP統(tǒng)一資源標(biāo)識(shí)符（電話號(hào)碼）可以利用LAN和WLAN傳輸流采集工具（嗅探器）來(lái)捕獲。攻擊者可以利用捕獲的賬戶(hù)信息假冒用戶(hù)，欺騙客戶(hù)代表或自助門(mén)戶(hù)網(wǎng)站。攻擊者可以在自助門(mén)戶(hù)網(wǎng)站上將呼叫計(jì)劃修改為允許撥打“900”收費(fèi)電話號(hào)碼，或撥打被封鎖的國(guó)際號(hào)碼。他還可以訪問(wèn)語(yǔ)音郵件或修改呼叫轉(zhuǎn)發(fā)號(hào)碼。假冒攻擊通常用于進(jìn)行話費(fèi)欺詐，但以獲得財(cái)務(wù)上好處為目標(biāo)的攻擊者，還可以捕獲語(yǔ)音對(duì)話，并在以后重放它們來(lái)獲取敏感的企業(yè)或個(gè)人信息。

利用SIP呼叫信令消息（例如邀請(qǐng)、注冊(cè)、再見(jiàn)或RTP媒體流數(shù)據(jù)包）淹沒(méi)VoIP目標(biāo)，可以降低服務(wù)質(zhì)量，迫使呼叫提前掛斷，以及使某個(gè)VoIP設(shè)備完全不能處理呼叫。VoIP設(shè)備還容易受到針對(duì)Internet協(xié)議的DoS攻擊的襲擊，如TCP SYN、 Ping of Death和最近出現(xiàn)的DNS分布式DoS擴(kuò)大攻擊。VoIP系統(tǒng)還會(huì)受到針對(duì)特定媒體的攻擊（如以太網(wǎng)廣播風(fēng)暴和Wi-Fi無(wú)線電干擾）和破壞。新VoIP硬件中使用的操作系統(tǒng)和TCP/IP棧容易遭受針對(duì)特定軟件實(shí)現(xiàn)的攻擊，這類(lèi)攻擊利用了編程缺陷。攻擊會(huì)造成系統(tǒng)停止運(yùn)行或使攻擊者獲得系統(tǒng)的遠(yuǎn)程管理控制權(quán)。

VoIP軟電話帶來(lái)一種獨(dú)有的棘手問(wèn)題，即軟電話應(yīng)用程序運(yùn)行在用戶(hù)的系統(tǒng)上（PC、PDA），容易遭受針對(duì)數(shù)據(jù)和語(yǔ)音應(yīng)用的惡意代碼攻擊。因此IT管理人員必須考慮攻擊者可能通過(guò)VoIP軟電話應(yīng)用程序，注入惡意代碼來(lái)繞過(guò)常規(guī)的PC惡意軟件防護(hù)的可能性。

垃圾郵件常常搭載著間諜軟件和管理工具。通過(guò)Internet電話傳播的垃圾郵件可以傳送主動(dòng)提供的推銷(xiāo)電話和其他討厭的消息，下載到軟電話上的程序可能包含暗藏的惡意軟件。盡管以上描述并不全面，但也足以促使IT管理人員進(jìn)一步評(píng)估引進(jìn)VoIP的風(fēng)險(xiǎn)，制定利用現(xiàn)成的安全技術(shù)減少風(fēng)險(xiǎn)的政策和實(shí)現(xiàn)計(jì)劃。

風(fēng)險(xiǎn)評(píng)估

語(yǔ)音對(duì)于傳統(tǒng)電話服務(wù)提供商來(lái)說(shuō)，是一棵四季常青的搖錢(qián)樹(shù)；對(duì)于VoIP廠商來(lái)說(shuō)，是一個(gè)利潤(rùn)豐厚的新市場(chǎng)；對(duì)于企業(yè)來(lái)說(shuō)，是一項(xiàng)關(guān)鍵業(yè)務(wù)服務(wù)。因此，公共VoIP運(yùn)營(yíng)商（電話公司）和專(zhuān)有VoIP運(yùn)營(yíng)者（企業(yè)）必須控制的最大的風(fēng)險(xiǎn)就是服務(wù)中斷。

VoIP用戶(hù)期望得到高可用性，至少不低于他們習(xí)慣于從公共交換電話網(wǎng)（PSTN）得到的可用性。因此，對(duì)于所有未來(lái)的VoIP運(yùn)營(yíng)者來(lái)說(shuō)，一項(xiàng)精心策劃的VoIP部署計(jì)劃必須包含減少DoS攻擊風(fēng)險(xiǎn)的措施。

其他優(yōu)先考慮的風(fēng)險(xiǎn)包括身份偷竊和話費(fèi)欺詐。VoIP公共運(yùn)營(yíng)商在VoIP部署中的身份和終端驗(yàn)證上，面臨比PSTN和蜂窩運(yùn)營(yíng)商更大的挑戰(zhàn)，因?yàn)榻K端的IP地址一般在Internet入口點(diǎn)上是不經(jīng)過(guò)驗(yàn)證的，目前VoIP運(yùn)營(yíng)商還沒(méi)有廣泛采取措施，合作驗(yàn)證或證明某個(gè)SIP身份是否有效。

VoIP運(yùn)營(yíng)商必須謹(jǐn)慎控制與其他VoIP運(yùn)營(yíng)商的信賴(lài)關(guān)系，應(yīng)當(dāng)避免與其他服務(wù)提供商的服務(wù)安排，除非他們有相當(dāng)?shù)陌盐毡ＷC其他提供商使用等價(jià)的身份和終端驗(yàn)證方法。在一個(gè)大范圍的企業(yè)內(nèi)部或企業(yè)與企業(yè)之間的VoIP部署中，這可以利用契約方式來(lái)保證。

一般而言，來(lái)自?xún)?nèi)部人員的攻擊多于來(lái)自外部人員的攻擊，因此企業(yè)VoIP網(wǎng)絡(luò)運(yùn)營(yíng)者即使隔離運(yùn)營(yíng)，仍必須考慮將假冒攻擊當(dāng)做一種威脅。然后，企業(yè)VoIP管理人員必須考慮檢測(cè)和阻止假冒攻擊的方法，應(yīng)當(dāng)利用賬戶(hù)和審計(jì)工具來(lái)幫助檢測(cè)濫用和身份犯罪。公共VoIP基礎(chǔ)設(shè)施可能經(jīng)常成為出于政治目的的攻擊者和恐怖分子的目標(biāo)，而專(zhuān)用VoIP網(wǎng)絡(luò)則日益面臨電子行業(yè)間諜和竊聽(tīng)攻擊（例如雇員截聽(tīng)高權(quán)限電話）的風(fēng)險(xiǎn)。

企業(yè)客戶(hù)還必須考慮幫助中心和客戶(hù)關(guān)懷。服務(wù)中斷、用戶(hù)假冒和話費(fèi)欺詐都是嚴(yán)重的支持問(wèn)題。解決中斷，使成為這類(lèi)攻擊犧牲品的雇員及時(shí)恢復(fù)服務(wù)會(huì)消耗資源，因此給生產(chǎn)力造成不利影響。安全事件可能給消費(fèi)者、用戶(hù)、管理層、甚至股東的信心所造成的影響是長(zhǎng)期的。

對(duì)策

VoIP是一種新的、不同類(lèi)型的Internet應(yīng)用，但它歸根結(jié)底是另一種利用IP提交的實(shí)時(shí)數(shù)據(jù)流。很多目前廣泛用于保護(hù)其他應(yīng)用（從Telnet和FTP到Web、電子郵件和即時(shí)消息）的安全措施，可被用于提高VoIP安全。

大多數(shù)VoIP服務(wù)應(yīng)用運(yùn)行在商用服務(wù)器操作系統(tǒng)上。加固服務(wù)器、使用反竊聽(tīng)和主機(jī)入侵檢測(cè)技術(shù)，可改進(jìn)企業(yè)的基本VoIP安全。最常見(jiàn)的、被廣泛建議使用的語(yǔ)音應(yīng)用服務(wù)器安全措施包括：

● 用最新的補(bǔ)丁修補(bǔ)操作系統(tǒng)和VoIP應(yīng)用程序

● 只運(yùn)行提供和維護(hù)VoIP服務(wù)所需的應(yīng)用程序

● 對(duì)管理和用戶(hù)賬戶(hù)訪問(wèn)進(jìn)行更強(qiáng)認(rèn)證

● 只開(kāi)通維護(hù)和正確操作所需的用戶(hù)賬戶(hù)，以阻止強(qiáng)行入侵

● 實(shí)施嚴(yán)格的認(rèn)證政策，阻止對(duì)VoIP服務(wù)和賬戶(hù)數(shù)據(jù)的非法訪問(wèn)

● 審計(jì)管理用戶(hù)會(huì)話和相關(guān)的服務(wù)活動(dòng)

● 安裝和維護(hù)服務(wù)器防火墻、反惡意軟件程序和防竊聽(tīng)措施來(lái)阻止DoS攻擊

● 安全地配置VoIP應(yīng)用來(lái)防止濫用。例如，可呼叫國(guó)家代碼的白名單可以阻止某些可能導(dǎo)致話費(fèi)欺詐與非法使用的呼叫轉(zhuǎn)發(fā)、轉(zhuǎn)移。

一旦VoIP服務(wù)器和它們運(yùn)行的應(yīng)用得到可靠配置，應(yīng)當(dāng)圍繞服務(wù)器添加多層安全防線來(lái)建立縱深防御。利用分離的物理或虛擬LAN（VLAN）來(lái)傳送管理、語(yǔ)音和數(shù)據(jù)流，將VoIP服務(wù)器和所需要的基礎(chǔ)設(shè)施（例如DNS、LDAP）與客戶(hù)終端（電話、PC和便攜機(jī)）隔離。

利用防火墻把可能跨越VLAN邊界的傳輸流類(lèi)型限制在只有那些必要的協(xié)議范圍之內(nèi)。這種隔離對(duì)于減少惡意軟件由被傳染的客戶(hù)機(jī)向單一操作系統(tǒng)（比如Windows）網(wǎng)絡(luò)的傳播尤其有效。這種作法常常導(dǎo)致每個(gè)隔離防火墻中的安全策略比用戶(hù)在單個(gè)防火墻中必須維護(hù)的策略更為簡(jiǎn)單。

分段是一種功能強(qiáng)大的安全工具，因此不要止步于此。同樣這些用于加強(qiáng)安全的分段方法可被用于實(shí)現(xiàn)QoS：例如，把SIP電話限制在它們自己的VLAN上，有助于將VoIP限制在獲得許可的設(shè)備上，并且在當(dāng)IP從網(wǎng)絡(luò)邊緣向核心傳送時(shí)賦予VoIP更高的優(yōu)先級(jí)。

應(yīng)當(dāng)考慮將語(yǔ)音用戶(hù)代理（硬電話）與用于訪問(wèn)網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用程序的PC和便攜機(jī)隔離開(kāi)。這可以防止針對(duì)某一數(shù)據(jù)段的成功攻擊傳播和干擾語(yǔ)音系統(tǒng)。在應(yīng)用分段和基于策略的隔離時(shí)，防火墻的性能可能成為問(wèn)題，因此，應(yīng)當(dāng)謹(jǐn)慎規(guī)劃，避免給傳送媒體流的路徑增加延時(shí)。

終端安全為VoIP部署增加了一層外圍安全防線。IEEE 802.1x基于端口的網(wǎng)絡(luò)訪問(wèn)控制和等價(jià)的網(wǎng)絡(luò)訪問(wèn)技術(shù)，在設(shè)備通過(guò)安全檢查前，阻止設(shè)備使用LAN或WLAN，又建立了一層授權(quán)控制防線。管理人員可以選擇阻止傳染上惡意軟件或不滿(mǎn)足其他訪問(wèn)標(biāo)準(zhǔn)（如是否安裝了最新補(bǔ)丁和恰當(dāng)配置的防火墻）的設(shè)備。他們可以將不符合要求的設(shè)備改向連接在一個(gè)提供有限服務(wù)的隔離LAN網(wǎng)段上，或改向連接在一條LAN上，在這條LAN上，軟電話用戶(hù)可以訪問(wèn)滿(mǎn)足訪問(wèn)標(biāo)準(zhǔn)所需的軟件、補(bǔ)丁和惡意軟件特性更新包。在很多情況下，這些安全措施可在認(rèn)證之前實(shí)行，以阻止惡意軟件（鍵盤(pán)記錄器）捕獲用戶(hù)的證明信息。

利用防火墻執(zhí)行安全策略的公司可能發(fā)現(xiàn)他們目前的防火墻不適合于完成保護(hù)語(yǔ)音和數(shù)據(jù)安全的任務(wù)。傳統(tǒng)的防火墻在設(shè)計(jì)上根據(jù)TCP、用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）和IP包頭信息（例如IP地址、協(xié)議類(lèi)型和端口號(hào)），允許或拒絕傳輸流。

VoIP協(xié)議使用很大范圍的UDP端口并動(dòng)態(tài)將它們分配給媒體流。很多傳統(tǒng)的防火墻不能在不被VoIP使用或其他濫用大量的永久開(kāi)放端口號(hào)的條件下適應(yīng)這種行為。某些防火墻不能高效率地處理UDP；另一些防火墻不支持控制時(shí)延和抖動(dòng)的QoS措施，使VoIP呼叫具有電信級(jí)的語(yǔ)音質(zhì)量。IT管理人員應(yīng)當(dāng)考慮選擇這樣的防火墻：具有SIP識(shí)別能力、可以檢測(cè)和保護(hù)SIP信令消息、并且在不增加顯著時(shí)延的情況下就可以處理RTP媒體流。

應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）能夠在VoIP部署中發(fā)揮有益的作用。將SSL隧道技術(shù)集成到SIP代理服務(wù)器中，正在成為一種改進(jìn)認(rèn)證和增加用戶(hù)代理與SIP代理服務(wù)器之間交換信息的保密性與完整性保護(hù)的流行方式。

很多企業(yè)正在考慮建立SSL連接，以保護(hù)企業(yè)內(nèi)部以及企業(yè)間SIP代理服務(wù)器之間的信令傳輸流。如果企業(yè)用戶(hù)必須在全局和本地RTP  IP地址和端口間中繼媒體流，RTP代理服務(wù)器可能是其合適的選擇。另一些企業(yè)將選擇利用他們?cè)贗PSec中的投資來(lái)保護(hù)站點(diǎn)間的VoIP傳輸流。

在一些配置中，企業(yè)可以嘗試建立為語(yǔ)音流分配高于數(shù)據(jù)優(yōu)先級(jí)的IPSec安全聯(lián)系，優(yōu)先處理VoIP傳輸流。一些企業(yè)可能希望過(guò)濾經(jīng)過(guò)會(huì)話邊界控制器（SBC）的信令傳輸流和RTP媒體流。SBC作為“背對(duì)背”用戶(hù)代理來(lái)運(yùn)行，連接和把策略應(yīng)用于公共與專(zhuān)用用戶(hù)代理之間的呼叫。SBC在一些方面行為就像是一臺(tái)安全的電子郵件代理服務(wù)器。它可以重寫(xiě)消息頭，隱藏專(zhuān)用網(wǎng)絡(luò)的細(xì)節(jié)（如地址），剝除未知的和不符合要求的包頭SIP域并限制被叫方的號(hào)碼。由于媒體傳輸流經(jīng)過(guò)SBC傳送，因此可以對(duì)它們執(zhí)行RTP策略。

這些安全措施以及主動(dòng)的安全監(jiān)測(cè)和入侵檢測(cè)與防御方案，不僅將改進(jìn)VoIP安全，而且還可以大大降低企業(yè)在引進(jìn)VoIP時(shí)給數(shù)據(jù)網(wǎng)絡(luò)帶來(lái)的風(fēng)險(xiǎn)，甚至在VoIP協(xié)議和架構(gòu)中集成了安全增強(qiáng)功能后，其中的很多措施仍將繼續(xù)在部署中發(fā)揮作用。

編看編想

頂盔貫甲的武士

VoIP從應(yīng)用之初就開(kāi)始面臨著方方面面安全的危脅。以至于用戶(hù)們不得不時(shí)時(shí)刻刻小心那些來(lái)自電話線路盜用者、電話欺詐、嗅探器、廣播風(fēng)暴、無(wú)線電干擾等威脅對(duì)其VoIP網(wǎng)絡(luò)的突襲。然而襲擊總是防不勝防的。因此，到目前為止，還沒(méi)有一種安全的解決方案能夠解決VoIP用戶(hù)面臨的所有安全問(wèn)題。

不過(guò)話說(shuō)回來(lái)，層出不窮的威脅也使網(wǎng)絡(luò)和VoIP提供商為用戶(hù)想得極盡周全，從終端、網(wǎng)絡(luò)、協(xié)議到策略，VoIP已經(jīng)被“武裝到了牙齒”?？梢韵胂笠粋€(gè)”頂盔貫甲“的VoIP“武士“還是有足夠防御能力的。只是太多的”甲胄“可能會(huì)占用較多的資源，也會(huì)顯得行動(dòng)不便。(cnw)