淺談企業(yè)應該如何保護VOIP的安全？

申請免費試用、咨詢電話：400-8352-114

信息化進程的加快，使VOIP解決方案得到更多應用，IT管理者不得不需要更多地將注意力放在VOIP上。這個將綜合語音整合到IT/IS系統(tǒng)的創(chuàng)舉存在很大的安全問題，我們需要正確理解這一過程，才能部署合理的應對措施。本文將討論如何在遵守安全框架的同時部署VOIP解決方案以及部署VOIP時我們將面臨的挑戰(zhàn)。

現(xiàn)今的VOIP狀況

隨著技術(shù)的不斷發(fā)展，解決方案的價格開始下降，而且解決方案所提供的功能也越來越豐富，越來越多的人和公司開始部署這些價格更便宜并且更易于使用的解決方案。但是美中不足的是，安全方面還需要花費一定時間才能跟上解決方案發(fā)展的步伐，安全部分總是事后才被附加在解決方案上的。這對于那些合并了VOIP功能的解決方案確實是事實。出于這個原因我們應該考慮部署一個安全框架來保證解決方案的實施。當今的各種設(shè)備已經(jīng)足夠強大能夠處理當前和將來的加密密碼，這就是加密技術(shù)成為可行。

身份驗證問題

在用戶可以使用VOIP服務(wù)之前，他們將需要進行身份驗證，以確認他們的身份能夠使用該服務(wù)。這個過程似乎很簡單，但是也需要理解一些問題，并且還需要克服一些困難。身份認證機制應該是結(jié)構(gòu)化的，首先設(shè)備能夠得到確認和驗證，其次是用戶。只要設(shè)備得到確認和驗證，那么該設(shè)備就可以邏輯化地轉(zhuǎn)移到VLAN上，在這個時候交換機上的安全政策就可以執(zhí)行加密，這就是說用戶提供的任何身份驗證憑證都是在加密狀況下進行的，從而保障安全狀態(tài)。

當涉及到身份驗證問題時，身份管理是與驗證齊頭并進的問題。利用現(xiàn)有的認證目錄是十分重要的，例如AD或者其他類型的LDAP目錄等。這樣現(xiàn)有的投資能夠得到平衡，并且整合了新技術(shù)的原有機制也繼續(xù)被使用，既節(jié)省時間又能改善安全狀況，供應商們正在努力加強機制的安全性。

保密

為了解決保密問題，首先技術(shù)控制就是繼續(xù)采用加密技術(shù)，這樣能夠確保通信的安全性并且能夠確保未經(jīng)批準的用戶無法進入通信過程。當通信流量跨越多個不受你們公司控制的網(wǎng)關(guān)時，這種保密的復雜性就會顯露出來。這就是為什么需要充分利用符合標準并且很容易配置的技術(shù)的原因，只有這樣才能夠確保VOIP數(shù)據(jù)包能夠在數(shù)據(jù)包的整個“人生”中都保持加密狀態(tài)。

另一件需要注意的事情就是擴展數(shù)據(jù)包大小可能會導致延遲，你可以通過為運輸方式選擇不正確的加密類型來實現(xiàn)這一點。

協(xié)議

在現(xiàn)代VOIP部署中有這樣一些常見的協(xié)議，包括RTP, SRTP, ZRTP以及MIKEY等，這些協(xié)議使用AES加密技術(shù)(后臺模式)來保障安全性。

SIP(會議信息協(xié)議)作為首選的VOIP協(xié)議開始越來越多地被采用，該協(xié)議運作的方式可以在會議初始化協(xié)議及其功能中找到。使用SIP客戶端，用戶可以創(chuàng)建一個綁定到SIP服務(wù)器的身份認證，這個身份可以用來登陸到服務(wù)器，而且可以將它作為一個網(wǎng)關(guān)來分配來自內(nèi)部和外部的呼叫，本地的或者遠程都可以實現(xiàn)，這就使遠程操控成為可能。利用NISC框架中提出的安全機制，IT專業(yè)人士們可以向他們的用戶群提供這些功能，然后用戶就可以安全登陸，使用SIP客戶端來進行通信。供應商如思科、Mitel、Avaya和很多其他供應商都有SIP協(xié)議為基礎(chǔ)的解決方案，并且同時也在開發(fā)SIP基礎(chǔ)的解決方案。

在討論加密技術(shù)問題時，密鑰管理始終是需要注意的部分，SRTP減輕了密鑰管理作為單一萬能密鑰的負擔，密鑰管理既要為保密性保護加密材料又要為完整性加密材料，并且同時需要處理SRTP流以及相對應的SRTCP流。在某些情況下單一萬能密鑰能夠同時保護幾個SRTP流。

一些新協(xié)議如RSIP(域特定協(xié)議)將有助于解決NAT/Ipsec復雜性等挑戰(zhàn)性問題，下一代IP協(xié)議(IPNL)可以在通信雙方提供一個溝通渠道的解決方案，這樣會使未來的通信過程更加安全、快捷和有效。

提示：

當選擇VOIP解決方案或者網(wǎng)關(guān)的時候，確保你選擇的解決方案能夠支持H.323協(xié)議

網(wǎng)絡(luò)

建設(shè)一個安全的VOIP網(wǎng)絡(luò)需要深入研究VOIP硬件和軟件，這樣才能使VOIP網(wǎng)絡(luò)本身有實現(xiàn)協(xié)調(diào)的可能性。為了操作的簡便性，將VOIP網(wǎng)絡(luò)分配進入其孤立的網(wǎng)絡(luò)要容易得多，只將網(wǎng)絡(luò)的組件連接到合適的公司數(shù)據(jù)網(wǎng)絡(luò)，并且通過一定的安全方式(如應用層防火墻)。這是為了確保VOIP網(wǎng)絡(luò)中的任何軟點都不會輕易被利用，并且嚴格的訪問控制機制能夠管理你的企業(yè)局域網(wǎng)和VOIP網(wǎng)絡(luò)間的通信流量。

網(wǎng)絡(luò)網(wǎng)絡(luò)對于網(wǎng)絡(luò)虛擬專用網(wǎng)而言是必不可少的，能夠確保網(wǎng)絡(luò)通信流量的安全性，而且能夠保持其完整性。

無線

在討論安全問題時，大家總會把目光投到無線，VOIP無線加密是強制性的，而且如果不是強制性的也會需要一個妥協(xié)來作為保障。在保護無線網(wǎng)絡(luò)安全問題上，IPSec是一個很好的對策，目前有一些正在運行的項目主要就是在研究VOIP安全問題，如Phil Zimmermann公司的zfone項目。

設(shè)備

設(shè)備和服務(wù)器都需要保持物理上的安全，以確保其不被擅自使用。邏輯上的安全同樣也很重要，因為現(xiàn)在解決方案已經(jīng)開始適用于遠程操控。電話賬戶與任何其他賬戶一樣都是一種資源，我們已經(jīng)聽說過很多關(guān)于賬戶如何通過遠程操控被濫用的故事。因為統(tǒng)一身份管理的重要性，你需要確保你的用戶能夠像安全政策(行政控制)中所描述的一樣定期更改他們的密碼。

最近英國電視節(jié)目中報道了盜賊如何對辦公電話進行遠程修改，從而偷竊用戶的身份驗證憑證。

另一種較常見的攻擊是，通過模擬服務(wù)器來獲取用戶的身份驗證憑證，一旦發(fā)生這種情況，用戶將會被重定位直合法的服務(wù)器， 解決這種攻擊的對策是要保持合法服務(wù)器物理上的安全以及邏輯上的安全，而且用戶在進行身份驗證前需要對用戶或者客戶端軟件進行驗證。

通訊和存儲

對于任何VOIP解決方案，通訊和存儲經(jīng)常是被忽視的組成部分。前幾年常見這樣一種攻擊方式，就是通過在默認網(wǎng)絡(luò)密碼框中輸入1234或者0000來遠程登錄到某人的語音郵箱。這樣使你能夠訪問語音郵箱，但是事實上控制的要素可能將這一功能設(shè)置為允許遠程控制，對策就是在該服務(wù)使用前強行更改密碼，這樣能夠確保該服務(wù)的安全運行。存儲也可能受到攻擊，這會使解決方案變得很容易攻擊，應該從物理上以及邏輯上保護存儲，需要部署有效的措施來避免任何攻擊。

總結(jié)

在考慮VOIP安全解決方案時，應該要遵守現(xiàn)有的標準，VOIP技術(shù)仍然在不斷發(fā)展，安全仍然需要不斷完善，并且安全還不是解決方案的組成部分。如果VOIP解決方案被合理地部署在網(wǎng)絡(luò)，最終結(jié)果是將會出現(xiàn)一個更加安全更加可靠有效費用更加合理的解決方案。（IT專家網(wǎng)）