為VoIP規(guī)劃最佳實踐

來源：泛普軟件

一家行業(yè)組織正在起草VoIP最佳慣例文件，該文件將對如何利用具體型號的設(shè)備構(gòu)建安全的VoIP網(wǎng)絡(luò)做出規(guī)定，為那些希望迅速部署VoIP的企業(yè)客戶提供成熟的案例指導(dǎo)。負責(zé)撰寫這份最佳慣例文件的組織是VoIP安全聯(lián)盟（VOIPSA），VOIPSA是一個開放性組織，旨在提高公眾對VoIP安全性和保密性問題的意識并推廣這方面的最佳實踐。該組織一直進行的工作是定義和開發(fā)一種網(wǎng)絡(luò)電話分類方法以及了解并確定VoIP網(wǎng)絡(luò)的安全性和隱私性要求。VOIPSA是今年2月成立的，據(jù)悉，自VOIPSA成立后，已有100多家廠商，包括3Com、阿爾卡特、Level 3 Communications、諾基亞、安捷倫、Accenture、賽門鐵克、北電和Juniper等加入了VOIPSA。該聯(lián)盟在今年10月發(fā)表了其VoIP領(lǐng)域的安全威脅列表——VoIP安全威脅分類法。下一步將發(fā)表一套最佳實踐，幫助企業(yè)VoIP用戶和其他VoIP用戶判斷是否采用了適當?shù)陌踩胧?。該組織還將開發(fā)測試軟件包，允許廠商測試他們的產(chǎn)品是否和最佳實踐配合。該組織一位主管Graydon說，文件可能要等到明年才能公布，到那時，這份文件將成為用戶構(gòu)建安全VoIP網(wǎng)絡(luò)的實用指導(dǎo)。這份文件將提供經(jīng)過VOIPSA測試的能夠?qū)崿F(xiàn)其規(guī)定的可互操作和安全部署的案例。不過有關(guān)官員表示，這份文件現(xiàn)在還沒有完成，它必須等另一份VOIPSA報告發(fā)表之后才能準備就緒，而這份前提的報告發(fā)表時間是今年年底。這個項目在該組織正在處理的任務(wù)表上排在第三位，VOIPSA正在請求一個委員會的成員來撰寫這份文件。 安全的VoIP 安全漏洞是部署VoIP的頭等大事，企業(yè)用戶和那些希望保證可靠的電話服務(wù)來維持經(jīng)濟發(fā)展的政府部門都把安全看做是阻礙IP語音實施的心頭大患。近日，一家德國政府機構(gòu)公布了自己的VoIP威脅名單。這份報告發(fā)現(xiàn)IP語音服務(wù)中斷的風(fēng)險是如此之大，以致該機構(gòu)建議將語音和數(shù)據(jù)網(wǎng)絡(luò)分開，這顯然與正在強調(diào)“融合”的網(wǎng)絡(luò)架構(gòu)背道而馳。今年年初，美國國家標準與技術(shù)協(xié)會（NIST）發(fā)表的有關(guān)VoIP安全問題的報告中包含了避免安全漏洞的建議。與VOIPSA的工作不同（該組織的工作主要是由關(guān)注部署網(wǎng)絡(luò)具體細節(jié)的廠商完成的），NIST的文件是由制定部署語音網(wǎng)絡(luò)指導(dǎo)原則的政府研究人員編寫的。VOIPSA公布了36頁的潛在VoIP安全漏洞的分類目錄，并計劃在年底前發(fā)表一份獨立的文件，在不提及廠商的情況下，說明技術(shù)如何能保護網(wǎng)絡(luò)。 Graydon說，這份名為“VoIP安全與隱私威脅分類”的潛在安全漏洞清單定義了潛在的威脅。此外，分類目錄還可以讓那些熱衷于VoIP的企業(yè)了解現(xiàn)有的已知威脅，使企業(yè)可以應(yīng)付它們。項目負責(zé)人Jonathan Zar說：“目錄說明了用戶必須留意的風(fēng)險以及可能需要關(guān)心的具體問題。” 據(jù)悉，這份研究報告羅列了各種潛在的問題，包括服務(wù)盜竊、垃圾郵件、有意破壞服務(wù)、號碼收集、中間人攻擊、呼叫路由改變和修改談話。目前已經(jīng)有了解決其中一些問題的方法。Carnegie Mellon大學(xué)計算機應(yīng)急反應(yīng)小組Internet安全分析師Manion說，作為運行在IP網(wǎng)絡(luò)上的軟件應(yīng)用，VoIP很容易受到多種威脅的影響。他指出他們的研究小組已經(jīng)知道所有這些專門利用VoIP安全漏洞進行攻擊的手段。 Manion說：“每一個軟件都存在安全漏洞，包括VoIP軟件。一部VoIP電話就是一臺小型計算機，因此影響Web服務(wù)和瀏覽器的問題同樣也會影響到VoIP。” 聚焦VoIP網(wǎng)絡(luò) VoIP還容易受到一般網(wǎng)絡(luò)威脅的影響，如拒絕服務(wù)攻擊、蠕蟲和病毒。他說，這些威脅在影響語音呼叫時不會使整個網(wǎng)絡(luò)陷于癱瘓，它們只需造成足夠的延時和抖動，就可中斷語音數(shù)據(jù)包的傳輸流，造成用戶聽到的語音流中斷。確保一般的網(wǎng)絡(luò)安全性是保證VoIP安全的必要條件。

VoIP可能遇到的問題和解決方式

VoIP安全聯(lián)盟（VOIPSA）正在開發(fā)實現(xiàn)VoIP的最佳實踐，但是同時潛在的用戶必須了解他們自己要做些什么。以下就是一些建議。

竊聽，包括截獲號碼和編造談話

解決辦法：加密語音流和信令

語音垃圾

解決辦法：尋找用于識別不屬于通常的呼叫模式范圍內(nèi)的呼叫機制

篡改呼叫者談話的語音注入攻擊

解決辦法：加密語音流和信令

攻擊語音網(wǎng)絡(luò)設(shè)備來中斷服務(wù)

解決辦法：阻止蠕蟲、病毒、特洛伊木馬和拒絕服務(wù)攻擊的標準最佳實踐網(wǎng)絡(luò)安全措施

對SIP服務(wù)器的攻擊

解決辦法：SIP防火墻代理傳輸流以清除請求流和其他攻擊