如果實現VoIP,安全是個需要考慮的重要事項,因為VoIP中的每一節點都像計算機一樣是可訪問的。VoIP易遭受DoS攻擊以及遭黑客入侵的網關會導致發生未經授權的免費呼叫、呼叫竊聽和惡意呼叫重定向等問題
 
。VoIP還帶來某些特定的安全挑戰。例如,必須對VoIP呼叫的兩個部分(呼叫建立信息和實際呼叫媒體流)進行審查。事實上,僅今年所報道的與VoIP有關的安全事件數量就比2004年前所有年份所報道的總數還要多。  

  VoIP協議有幾個。VoIP專家們可能會提倡不同的協議,因為這些協議各有優點,但在安全問題上,對大多數VoIP協議來說,卻有幾個需要共同考慮的事情:運用最佳的安全建議可以消除額外的風險和攻擊。  

  VoIP的安全漏洞  

  VoIP基礎設施需要添加專用交換機系統、網關、代理、註冊和定位服務器以及撥打到IP骨幹網的電話。每一個VoIP組件在數據網絡上都像其他計算機一樣是可尋址和可訪問的。每一VoIP組件都包括一個運行軟件的處理器和可能遭受攻擊的TCP/IP堆棧。對數據通信的攻擊可通過IP語音基礎設施進行。針對脆弱的VoIP組件的DoS攻擊會用虛假的語音通信擁塞網絡,降低網絡性能或中止語音和數據通信。此外,如果PC感染了截獲LAN通信包的特洛伊木馬病毒,基於PC的軟電話就會非常容易遭到竊聽。VoIP漏洞還可被利用來對DMZ(非軍事區)中的服務器和主機發動bounce攻擊。 簡而言之,VoIP使語音通信面臨與數據通信一樣的安全威脅。同時,VoIP也帶來了一些安全挑戰。VoIP電話呼叫有兩個組成部分—呼叫建立的交換信令信息和傳輸「語音」媒體流。 信令和媒體路徑是分離的,需要在使用VoIP進行通信的兩部分之間建立邏輯連接。  

  VoIP安全建議  

  以滿足需求為前提 在使用不同協議和不同廠商VoIP設備問題上可能既會有贊成意見也會有反對意見。要確保所選擇的設備能滿足你的需求,改變需求以支持特定廠商的設備是非常危險的行為。  

  停止使用不必要的協議 一些協議的未知漏洞經常會被利用。沒有必要啟用不必要和未用過的協議和服務,為黑客提供更多的機會。  

  確保可管理性 由於VoIP基礎設施中的每一組件都像任何計算機一樣容易訪問,因此都有可能遭受攻擊。即便是電話和終端,所有VoIP系統都是在硬件基礎上運行的軟件系統,所以要確保能夠管理這種基本的VoIP操作系統。  

  對遠程操作進行認證 VoIP終端可進行遠程升級和管理。要確保僅使用基於IP地址的惟一用戶名。 最後所需要的是一個可管理服務的遠程程序。  

  將VoIP服務和內部網絡分開 有幾種安全設備不能充分運行VoIP信令命令。因此,它們可能打開動態通信端口,使網絡容易遭受bounce攻擊。這會使攻擊者侵入內部LAN中的其他關鍵業務組件。同時,應該用物理或邏輯分離器將VoIP和其他基於IP的基礎設施分隔開來。  

  能夠對VoIP進行檢查的安全系統 此種安全系統必須能夠審查VoIP流,分析呼叫狀態並且檢查服務內容,以確保所有參數是一致的。  

  除了以上的問題需要考慮外,還應該考慮網絡地址轉換(NAT)對VoIP流量造成的影響。

轉載自:http://news.ccw.com.cn/secure/htm2007/20070706_283416.shtml

創作者介紹

香醇咖啡

香醇咖啡 發表在 痞客邦 PIXNET 留言(0) 人氣()