淺談企業(yè)應(yīng)該如何保護(hù)VOIP的安全？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

信息化進(jìn)程的加快，使VOIP解決方案得到更多應(yīng)用，IT管理者不得不需要更多地將注意力放在VOIP上。這個(gè)將綜合語(yǔ)音整合到IT/IS系統(tǒng)的創(chuàng)舉存在很大的安全問(wèn)題，我們需要正確理解這一過(guò)程，才能部署合理的應(yīng)對(duì)措施。本文將討論如何在遵守安全框架的同時(shí)部署VOIP解決方案以及部署VOIP時(shí)我們將面臨的挑戰(zhàn)。

現(xiàn)今的VOIP狀況

隨著技術(shù)的不斷發(fā)展，解決方案的價(jià)格開(kāi)始下降，而且解決方案所提供的功能也越來(lái)越豐富，越來(lái)越多的人和公司開(kāi)始部署這些價(jià)格更便宜并且更易于使用的解決方案。但是美中不足的是，安全方面還需要花費(fèi)一定時(shí)間才能跟上解決方案發(fā)展的步伐，安全部分總是事后才被附加在解決方案上的。這對(duì)于那些合并了VOIP功能的解決方案確實(shí)是事實(shí)。出于這個(gè)原因我們應(yīng)該考慮部署一個(gè)安全框架來(lái)保證解決方案的實(shí)施。當(dāng)今的各種設(shè)備已經(jīng)足夠強(qiáng)大能夠處理當(dāng)前和將來(lái)的加密密碼，這就是加密技術(shù)成為可行。

身份驗(yàn)證問(wèn)題

在用戶可以使用VOIP服務(wù)之前，他們將需要進(jìn)行身份驗(yàn)證，以確認(rèn)他們的身份能夠使用該服務(wù)。這個(gè)過(guò)程似乎很簡(jiǎn)單，但是也需要理解一些問(wèn)題，并且還需要克服一些困難。身份認(rèn)證機(jī)制應(yīng)該是結(jié)構(gòu)化的，首先設(shè)備能夠得到確認(rèn)和驗(yàn)證，其次是用戶。只要設(shè)備得到確認(rèn)和驗(yàn)證，那么該設(shè)備就可以邏輯化地轉(zhuǎn)移到VLAN上，在這個(gè)時(shí)候交換機(jī)上的安全政策就可以執(zhí)行加密，這就是說(shuō)用戶提供的任何身份驗(yàn)證憑證都是在加密狀況下進(jìn)行的，從而保障安全狀態(tài)。

當(dāng)涉及到身份驗(yàn)證問(wèn)題時(shí)，身份管理是與驗(yàn)證齊頭并進(jìn)的問(wèn)題。利用現(xiàn)有的認(rèn)證目錄是十分重要的，例如AD或者其他類型的LDAP目錄等。這樣現(xiàn)有的投資能夠得到平衡，并且整合了新技術(shù)的原有機(jī)制也繼續(xù)被使用，既節(jié)省時(shí)間又能改善安全狀況，供應(yīng)商們正在努力加強(qiáng)機(jī)制的安全性。

保密

為了解決保密問(wèn)題，首先技術(shù)控制就是繼續(xù)采用加密技術(shù)，這樣能夠確保通信的安全性并且能夠確保未經(jīng)批準(zhǔn)的用戶無(wú)法進(jìn)入通信過(guò)程。當(dāng)通信流量跨越多個(gè)不受你們公司控制的網(wǎng)關(guān)時(shí)，這種保密的復(fù)雜性就會(huì)顯露出來(lái)。這就是為什么需要充分利用符合標(biāo)準(zhǔn)并且很容易配置的技術(shù)的原因，只有這樣才能夠確保VOIP數(shù)據(jù)包能夠在數(shù)據(jù)包的整個(gè)“人生”中都保持加密狀態(tài)。

另一件需要注意的事情就是擴(kuò)展數(shù)據(jù)包大小可能會(huì)導(dǎo)致延遲，你可以通過(guò)為運(yùn)輸方式選擇不正確的加密類型來(lái)實(shí)現(xiàn)這一點(diǎn)。

協(xié)議

在現(xiàn)代VOIP部署中有這樣一些常見(jiàn)的協(xié)議，包括RTP, SRTP, ZRTP以及MIKEY等，這些協(xié)議使用AES加密技術(shù)(后臺(tái)模式)來(lái)保障安全性。

SIP(會(huì)議信息協(xié)議)作為首選的VOIP協(xié)議開(kāi)始越來(lái)越多地被采用，該協(xié)議運(yùn)作的方式可以在會(huì)議初始化協(xié)議及其功能中找到。使用SIP客戶端，用戶可以創(chuàng)建一個(gè)綁定到SIP服務(wù)器的身份認(rèn)證，這個(gè)身份可以用來(lái)登陸到服務(wù)器，而且可以將它作為一個(gè)網(wǎng)關(guān)來(lái)分配來(lái)自內(nèi)部和外部的呼叫，本地的或者遠(yuǎn)程都可以實(shí)現(xiàn)，這就使遠(yuǎn)程操控成為可能。利用NISC框架中提出的安全機(jī)制，IT專業(yè)人士們可以向他們的用戶群提供這些功能，然后用戶就可以安全登陸，使用SIP客戶端來(lái)進(jìn)行通信。供應(yīng)商如思科、Mitel、Avaya和很多其他供應(yīng)商都有SIP協(xié)議為基礎(chǔ)的解決方案，并且同時(shí)也在開(kāi)發(fā)SIP基礎(chǔ)的解決方案。

在討論加密技術(shù)問(wèn)題時(shí)，密鑰管理始終是需要注意的部分，SRTP減輕了密鑰管理作為單一萬(wàn)能密鑰的負(fù)擔(dān)，密鑰管理既要為保密性保護(hù)加密材料又要為完整性加密材料，并且同時(shí)需要處理SRTP流以及相對(duì)應(yīng)的SRTCP流。在某些情況下單一萬(wàn)能密鑰能夠同時(shí)保護(hù)幾個(gè)SRTP流。

一些新協(xié)議如RSIP(域特定協(xié)議)將有助于解決NAT/Ipsec復(fù)雜性等挑戰(zhàn)性問(wèn)題，下一代IP協(xié)議(IPNL)可以在通信雙方提供一個(gè)溝通渠道的解決方案，這樣會(huì)使未來(lái)的通信過(guò)程更加安全、快捷和有效。

提示：

當(dāng)選擇VOIP解決方案或者網(wǎng)關(guān)的時(shí)候，確保你選擇的解決方案能夠支持H.323協(xié)議

網(wǎng)絡(luò)

建設(shè)一個(gè)安全的VOIP網(wǎng)絡(luò)需要深入研究VOIP硬件和軟件，這樣才能使VOIP網(wǎng)絡(luò)本身有實(shí)現(xiàn)協(xié)調(diào)的可能性。為了操作的簡(jiǎn)便性，將VOIP網(wǎng)絡(luò)分配進(jìn)入其孤立的網(wǎng)絡(luò)要容易得多，只將網(wǎng)絡(luò)的組件連接到合適的公司數(shù)據(jù)網(wǎng)絡(luò)，并且通過(guò)一定的安全方式(如應(yīng)用層防火墻)。這是為了確保VOIP網(wǎng)絡(luò)中的任何軟點(diǎn)都不會(huì)輕易被利用，并且嚴(yán)格的訪問(wèn)控制機(jī)制能夠管理你的企業(yè)局域網(wǎng)和VOIP網(wǎng)絡(luò)間的通信流量。

網(wǎng)絡(luò)網(wǎng)絡(luò)對(duì)于網(wǎng)絡(luò)虛擬專用網(wǎng)而言是必不可少的，能夠確保網(wǎng)絡(luò)通信流量的安全性，而且能夠保持其完整性。

無(wú)線

在討論安全問(wèn)題時(shí)，大家總會(huì)把目光投到無(wú)線，VOIP無(wú)線加密是強(qiáng)制性的，而且如果不是強(qiáng)制性的也會(huì)需要一個(gè)妥協(xié)來(lái)作為保障。在保護(hù)無(wú)線網(wǎng)絡(luò)安全問(wèn)題上，IPSec是一個(gè)很好的對(duì)策，目前有一些正在運(yùn)行的項(xiàng)目主要就是在研究VOIP安全問(wèn)題，如Phil Zimmermann公司的zfone項(xiàng)目。

設(shè)備

設(shè)備和服務(wù)器都需要保持物理上的安全，以確保其不被擅自使用。邏輯上的安全同樣也很重要，因?yàn)楝F(xiàn)在解決方案已經(jīng)開(kāi)始適用于遠(yuǎn)程操控。電話賬戶與任何其他賬戶一樣都是一種資源，我們已經(jīng)聽(tīng)說(shuō)過(guò)很多關(guān)于賬戶如何通過(guò)遠(yuǎn)程操控被濫用的故事。因?yàn)榻y(tǒng)一身份管理的重要性，你需要確保你的用戶能夠像安全政策(行政控制)中所描述的一樣定期更改他們的密碼。

最近英國(guó)電視節(jié)目中報(bào)道了盜賊如何對(duì)辦公電話進(jìn)行遠(yuǎn)程修改，從而偷竊用戶的身份驗(yàn)證憑證。

另一種較常見(jiàn)的攻擊是，通過(guò)模擬服務(wù)器來(lái)獲取用戶的身份驗(yàn)證憑證，一旦發(fā)生這種情況，用戶將會(huì)被重定位直合法的服務(wù)器， 解決這種攻擊的對(duì)策是要保持合法服務(wù)器物理上的安全以及邏輯上的安全，而且用戶在進(jìn)行身份驗(yàn)證前需要對(duì)用戶或者客戶端軟件進(jìn)行驗(yàn)證。

通訊和存儲(chǔ)

對(duì)于任何VOIP解決方案，通訊和存儲(chǔ)經(jīng)常是被忽視的組成部分。前幾年常見(jiàn)這樣一種攻擊方式，就是通過(guò)在默認(rèn)網(wǎng)絡(luò)密碼框中輸入1234或者0000來(lái)遠(yuǎn)程登錄到某人的語(yǔ)音郵箱。這樣使你能夠訪問(wèn)語(yǔ)音郵箱，但是事實(shí)上控制的要素可能將這一功能設(shè)置為允許遠(yuǎn)程控制，對(duì)策就是在該服務(wù)使用前強(qiáng)行更改密碼，這樣能夠確保該服務(wù)的安全運(yùn)行。存儲(chǔ)也可能受到攻擊，這會(huì)使解決方案變得很容易攻擊，應(yīng)該從物理上以及邏輯上保護(hù)存儲(chǔ)，需要部署有效的措施來(lái)避免任何攻擊。

總結(jié)

在考慮VOIP安全解決方案時(shí)，應(yīng)該要遵守現(xiàn)有的標(biāo)準(zhǔn)，VOIP技術(shù)仍然在不斷發(fā)展，安全仍然需要不斷完善，并且安全還不是解決方案的組成部分。如果VOIP解決方案被合理地部署在網(wǎng)絡(luò)，最終結(jié)果是將會(huì)出現(xiàn)一個(gè)更加安全更加可靠有效費(fèi)用更加合理的解決方案。（IT專家網(wǎng)）