IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全安全防護(hù) → 打造安全VoIP

打造安全VoIP

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  網(wǎng)絡(luò)層加密

  你可以使用IPSec加密來保護(hù)網(wǎng)絡(luò)中的VoIP數(shù)據(jù);如果攻擊者穿越了你的物理層防護(hù)措施,并截獲了VoIP數(shù)據(jù)包,他們也無法破譯其中的內(nèi)容。IPSec使用認(rèn)證頭以及壓縮安全有效載荷來為IP傳輸提供認(rèn)證性、完整性以及機(jī)密性。

  VoIP上的IPSec使用隧道模式,對兩頭終端的身份進(jìn)行保護(hù)。IPSec可以讓VoIP通訊比使用傳統(tǒng)的電話線更安全。

  會話層鎖定

  你還可以使用TLS來保護(hù)VoIP會話,TLS使用的是數(shù)字簽名和公共密鑰加密,這意味著每一個端點都必須有一個可信任的、由權(quán)威CA認(rèn)證的簽名?;蛘吣阋部梢酝ㄟ^一個內(nèi)部CA(比如一臺運行了認(rèn)證服務(wù)的Windows服務(wù)器)來進(jìn)行企業(yè)內(nèi)部的通話,并經(jīng)由一個公共CA來進(jìn)行公司之外的通話。

  保護(hù)應(yīng)用層

  你可以使用"安全RTP(SRTP)"來對應(yīng)用層的介質(zhì)進(jìn)行加密。RFC 3711定義了SRTP,讓它可以提供信息認(rèn)證、機(jī)密性、回放保護(hù)、阻止對RTP數(shù)據(jù)流的拒絕服務(wù)式攻擊等安全機(jī)制。通過SRTP,你可以對無線網(wǎng)和有線網(wǎng)上的VoIP通訊進(jìn)行有效的保護(hù)。

  建立VoIP網(wǎng)絡(luò)的冗余機(jī)制

  要時刻準(zhǔn)備著可能會遭到病毒、DoS攻擊,它們可能會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。構(gòu)建能夠設(shè)置多層節(jié)點、網(wǎng)關(guān)、服務(wù)器、電源及呼叫路由器的網(wǎng)絡(luò)系統(tǒng),并與不只一個供應(yīng)商互聯(lián)。經(jīng)常性的對各個網(wǎng)絡(luò)系統(tǒng)進(jìn)行考驗,確保其工作良好,當(dāng)主服務(wù)網(wǎng)絡(luò)癱瘓時,備用設(shè)施可以迅速接管工作。

  配備專用防火墻

  對一個IP網(wǎng)絡(luò)來說,邊界保護(hù)通常意味著使用防火墻,不過一個老舊的防火墻是不適合VoIP網(wǎng)絡(luò)的。你需要一個特別設(shè)計的防火墻,他得能識別和分析VoIP協(xié)議,能對VoIP的數(shù)據(jù)包進(jìn)行深度檢查,并能分析VoIP的有效載荷以便發(fā)現(xiàn)所有和攻擊有關(guān)的蛛絲馬跡。

  如果你的VoIP部署使用了SIP協(xié)議(Session Initiation Protocol),那么防火墻就應(yīng)當(dāng)能執(zhí)行下述操作:監(jiān)視進(jìn)出的SIP信息,以便發(fā)現(xiàn)應(yīng)用程式層次上的攻擊;支持TLS(傳輸層安全);執(zhí)行基于SIP的NAT及介質(zhì)端口管理;檢測非正常的呼叫模式;記錄SIP信息的詳情,特別是未經(jīng)授權(quán)的呼叫。

  內(nèi)外網(wǎng)隔離

  將電話管理系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)置于國際互聯(lián)網(wǎng)絡(luò)直接訪問之外是一個不錯的選擇,將語音服務(wù)與其它服務(wù)器置于相分離的域中,并限制對其訪問。

  盡量減少軟終端

  VoIP軟終端電話易于遭受電腦黑客攻擊,即使它位于公司防火墻之后,因為這種東西是與普通的PC、VoIP軟件及一對耳機(jī)一起使用的。而且,軟終端電話并沒有將語音和數(shù)據(jù)分開,因此,易于受到病毒和蠕蟲的攻擊。

  限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€VLAN上

  Cisco建議對語音和數(shù)據(jù)分別劃分VLAN,這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù)。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計算機(jī)形成了一個有效的封閉的圈子,它不允許任何其它計算機(jī)訪問其設(shè)備,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊,也會將損失降到最低。

  監(jiān)控并跟蹤網(wǎng)絡(luò)的通信模式

  監(jiān)控工具和入侵探測系統(tǒng)能幫助用戶識別那些侵入VoIP網(wǎng)絡(luò)的企圖。詳細(xì)觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西,如莫名其妙的國際電話或是本公司或組織基本不聯(lián)系的國際電話,多重登錄試圖破解密碼,語音暴增等。

  定期進(jìn)行安全

  要確信只有經(jīng)過鑒別的設(shè)備和用戶,才可以訪問那些經(jīng)過限制的以太網(wǎng)端口。管理員常常被欺騙,接授那些沒有經(jīng)過允許的軟終端電話的請求,因為黑客們能夠通過插入RJ44端口輕易地模仿IP地址和MAC地址。

  總結(jié)

  基于IP網(wǎng)絡(luò)及其協(xié)議的公共性質(zhì),使得VoIP天生就具備相對于傳統(tǒng)電話網(wǎng)而言更易受到攻擊的特質(zhì)。不過,通過采取一個仔細(xì)規(guī)劃的、多層次的VoIP網(wǎng)絡(luò)防護(hù)措施,企業(yè)就可以讓VoIP網(wǎng)絡(luò)的安全程度趕上甚至是超過傳統(tǒng)的電話系統(tǒng)。

關(guān)鍵詞標(biāo)簽:安全,VoIP

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關(guān)下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置