VoIP安全检查要点

newmaker

欢迎访问e展厅 展厅 2 手机/通信/网络设备展厅 手机, 调制解调器, 网管控制器, 光传输系统, 程控交换机, ... 如果实现VoIP，安全是个需要考虑的重要事项，因为VoIP中的每一节点都像计算机一样是可访问的。VoIP易遭受DoS攻击以及遭黑客入侵的网关会导致发生未经授权的免费呼叫、呼叫窃听和恶意呼叫重定向等问题。VoIP还带来某些特定的安全挑战。例如，必须对VoIP呼叫的两个部分（呼叫建立信息和实际呼叫媒体流）进行审查。事实上，仅今年所报道的与VoIP有关的安全事件数量就比2004年前所有年份所报道的总数还要多。 VoIP协议有几个。VoIP专家们可能会提倡不同的协议，因为这些协议各有优点，但在安全问题上，对大多数VoIP协议来说，却有几个需要共同考虑的事情：运用最佳的安全建议可以消除额外的风险和攻击。 VoIP的安全漏洞 VoIP基础设施需要添加专用交换机系统、网关、代理、注册和定位服务器以及拨打到IP骨干网的电话。每一个VoIP组件在数据网络上都像其他计算机一样是可寻址和可访问的。每一VoIP组件都包括一个运行软件的处理器和可能遭受攻击的TCP/IP堆栈。对数据通信的攻击可通过IP语音基础设施进行。针对脆弱的VoIP组件的DoS攻击会用虚假的语音通信拥塞网络，降低网络性能或中止语音和数据通信。此外，如果PC感染了截获LAN通信包的特洛伊木马病毒，基于PC的软电话就会非常容易遭到窃听。VoIP漏洞还可被利用来对DMZ（非军事区）中的服务器和主机发动bounce攻击。 简而言之，VoIP使语音通信面临与数据通信一样的安全威胁。同时，VoIP也带来了一些安全挑战。VoIP电话呼叫有两个组成部分—呼叫建立的交换信令信息和传输“语音”媒体流。 信令和媒体路径是分离的，需要在使用VoIP进行通信的两部分之间建立逻辑连接。 VoIP安全建议 以满足需求为前提 在使用不同协议和不同厂商VoIP设备问题上可能既会有赞成意见也会有反对意见。要确保所选择的设备能满足你的需求，改变需求以支持特定厂商的设备是非常危险的行为。 停止使用不必要的协议 一些协议的未知漏洞经常会被利用。没有必要启用不必要和未用过的协议和服务，为黑客提供更多的机会。 确保可管理性 由于VoIP基础设施中的每一组件都像任何计算机一样容易访问，因此都有可能遭受攻击。即便是电话和终端，所有VoIP系统都是在硬件基础上运行的软件系统，所以要确保能够管理这种基本的VoIP操作系统。 对远程操作进行认证 VoIP终端可进行远程升级和管理。要确保仅使用基于IP地址的惟一用户名。 最后所需要的是一个可管理服务的远程程序。 将VoIP服务和内部网络分开 有几种安全设备不能充分运行VoIP信令命令。因此，它们可能打开动态通信端口，使网络容易遭受bounce攻击。这会使攻击者侵入内部LAN中的其他关键业务组件。同时，应该用物理或逻辑分离器将VoIP和其他基于IP的基础设施分隔开来。 能够对VoIP进行检查的安全系统 此种安全系统必须能够审查VoIP流，分析呼叫状态并且检查服务内容，以确保所有参数是一致的。 除了以上的问题需要考虑外，还应该考虑网络地址转换（NAT）对VoIP流量造成的影响。 (end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (1/18/2005)