voip安全:浅谈企业该如何保护VOIP的安全

on 2009-12-8 in 安全 | 0 Comment
  信息化进程加快使VOIP解决方案得到更多应用IT管理者不得不需要更多地将注意力放在VOIP上这 个将综合语音整合到IT/IS系统创举存在很大安全问题我们需要正确理解这过程才能部署合理 应对措施
  现今VOIP状况
  随着技术不断发展解决方案价格开始下降而且解决方案所提供功能也越来越丰富越来越 多人和公司开始部署这些价格更便宜并且更易于使用解决方案但是美中不足安全方面还需要 花费定时间才能跟上解决方案发展步伐安全部分总是事后才被附加在解决方案上这对于那些合 并了VOIP功能解决方案确实是事实出于这个原因我们应该考虑部署个安全框架来保证解决方案实 施当今各种设备已经足够强大能够处理当前和将来加密密码这就是加密技术成为可行
  身份验证问题
  在用户可以使用VOIP服务的前他们将需要进行身份验证以确认他们身份能够使用该服务这个 过程似乎很简单但是也需要理解些问题并且还需要克服些困难身份认证机制应该是结构化 首先设备能够得到确认和验证其次是用户只要设备得到确认和验证那么该设备就可以逻辑化地转移 到VLAN上在这个时候交换机上安全政策就可以执行加密这就是说用户提供任何身份验证凭证都是 在加密状况下进行从而保障安全状态
  当涉及到身份验证问题时身份管理是和验证齐头并进问题利用现有认证目录是十分重要 例如AD或者其他类型LDAP目录等这样现有投资能够得到平衡并且整合了新技术原有机制也继续 被使用既节省时间又能改善安全状况供应商们正在努力加强机制安全性
  保密
  为了解决保密问题首先技术控制就是继续采用加密技术这样能够确保通信安全性并且能够确保 未经批准用户无法进入通信过程当通信流量跨越多个不受你们公司控制网关时这种保密复杂性 就会显露出来这就是为什么需要充分利用符合标准并且很容易配置技术原因只有这样才能够确保 VOIP数据包能够在数据包整个“人生”中都保持加密状态
  另件需要注意事情就是扩展数据包大小可能会导致延迟你可以通过为运输方式选择不正确加 密类型来实现这
  协议
  在现代VOIP部署中有这样些常见协议包括RTP, SRTP, ZRTP以及MIKEY等这些协议使用AES加密 技术(后台模式)来保障安全性
  SIP(会议信息协议)作为首选VOIP协议开始越来越多地被采用该协议运作方式可以在会议化 协议及其功能中找到使用SIP客户端用户可以创建个绑定到SIP服务器身份认证这个身份可以用 来登陆到服务器而且可以将它作为个网关来分配来自内部和外部呼叫本地或者远程都可以实现 这就使远程操控成为可能利用NISC框架中提出安全机制IT专业人士们可以向他们用户群提供这 些功能然后用户就可以安全登陆使用SIP客户端来进行通信供应商如思科、Mitel、Avaya和很多其他 供应商都有SIP协议为基础解决方案并且同时也在开发SIP基础解决方案
  在讨论加密技术问题时密钥管理始终是需要注意部分SRTP减轻了密钥管理作为单万能密钥 负担密钥管理既要为保密性保护加密材料又要为完整性加密材料并且同时需要处理SRTP流以及相对应 SRTCP流在某些情况下单万能密钥能够同时保护几个SRTP流
  些新协议如RSIP(域特定协议)将有助于解决NAT/Ipsec复杂性等挑战性问题代IP协议(IPNL)可 以在通信双方提供个沟通渠道解决方案这样会使未来通信过程更加安全、快捷和有效
  提示:
  当选择VOIP解决方案或者网关时候确保你选择解决方案能够支持H.323协议
  网络
  建设个安全VOIP网络需要深入研究VOIP硬件和软件Software这样才能使VOIP网络本身有实现协调可能 性为了操作简便性将VOIP网络分配进入其孤立网络要容易得多只将网络组件连接到合适公 司数据网络并且通过安全方式(如应用层防火墙)这是为了确保VOIP网络中任何软点都不会轻 易被利用并且严格访问控制机制能够管理你企业局域网和VOIP网络间通信流量
  网络网络对于网络虚拟专用网而言是必不可少能够确保网络通信流量安全性而且能够保持其 完整性
  无线
  在讨论安全问题时大家总会把目光投到无线VOIP无线加密是强制性而且如果不是强制性也 会需要个妥协来作为保障在保护无线网络安全问题上IPSec是个很好对策目前有些正在运行 项目主要就是在研究VOIP安全问题如Phil Zimmermann公司zfone项目
  设备
  设备和服务器都需要保持物理上安全以确保其不被擅自使用逻辑上安全同样也很重要 现在解决方案已经开始适用于远程操控电话账户和任何其他账户样都是种资源我们已经听说过很 多有关账户如何通过远程操控被滥用故事身份管理重要性你需要确保你用户能够像安 全政策(行政控制)中所描述样定期更改他们密码
  最近英国电视节目中报道了盗贼如何对办公电话进行远程修改从而偷窃用户身份验证凭证
  另种较常见攻击是通过模拟服务器来获取用户身份验证凭证旦发生这种情况用户将会 被重定位直合法服务器 解决这种攻击对策是要保持合法服务器物理上安全以及逻辑上安全而 且用户在进行身份验证前需要对用户或者客户端软件Software进行验证
  通讯和存储
  对于任何VOIP解决方案通讯和存储经常是被忽视组成部分前几年常见这样种攻击方式就是 通过在默认网络密码框中输入1234或者0000来远程登录到某人语音邮箱这样使你能够访问语音邮箱 但是事实上控制要素可能将这功能设置为允许远程控制对策就是在该服务使用前强行更改密码这 样能够确保该服务安全运行存储也可能受到攻击这会使解决方案变得很容易攻击应该从物理上以 及逻辑上保护存储需要部署有效措施来避免任何攻击
  整理总结
  在考虑VOIP安全解决方案时应该要遵守现有标准VOIP技术仍然在不断发展安全仍然需要不断 完善并且安全还不是解决方案组成部分如果VOIP解决方案被合理地部署在网络最终结果是将会出 现个更加安全更加可靠有效费用更加合理解决方案

Tags:  voip安全

延伸阅读

最新评论

发表评论