如何保護VoIP網(wǎng)絡

風險評估

語音對于傳統(tǒng)電話服務提供商來說，是一棵四季常青的搖錢樹；對于VoIP廠商來說，是一個利潤豐厚的新市場；對于企業(yè)來說，是一項關鍵業(yè)務服務。因此，公共VoIP運營商（電話公司）和專有VoIP運營者（企業(yè)）必須控制的最大的風險就是服務中斷。

VoIP用戶期望得到高可用性，至少不低于他們習慣于從公共交換電話網(wǎng)（PSTN）得到的可用性。因此，對于所有未來的VoIP運營者來說，一項精心策劃的VoIP部署計劃必須包含減少DoS攻擊風險的措施。

其他優(yōu)先考慮的風險包括身份偷竊和話費欺詐。VoIP公共運營商在VoIP部署中的身份和終端驗證上，面臨比PSTN和蜂窩運營商更大的挑戰(zhàn)，因為終端的IP地址一般在Internet入口點上是不經(jīng)過驗證的，目前VoIP運營商還沒有廣泛采取措施，合作驗證或證明某個SIP身份是否有效。

VoIP運營商必須謹慎控制與其他VoIP運營商的信賴關系，應當避免與其他服務提供商的服務安排，除非他們有相當?shù)陌盐毡ＷC其他提供商使用等價的身份和終端驗證方法。在一個大范圍的企業(yè)內部或企業(yè)與企業(yè)之間的VoIP部署中，這可以利用契約方式來保證。

一般而言，來自內部人員的攻擊多于來自外部人員的攻擊，因此企業(yè)VoIP網(wǎng)絡運營者即使隔離運營，仍必須考慮將假冒攻擊當做一種威脅。然后，企業(yè)VoIP管理人員必須考慮檢測和阻止假冒攻擊的方法，應當利用賬戶和審計工具來幫助檢測濫用和身份犯罪。

公共VoIP基礎設施可能經(jīng)常成為出于政治目的的攻擊者和恐怖分子的目標，而專用VoIP網(wǎng)絡則日益面臨電子行業(yè)間諜和竊聽攻擊（例如雇員截聽高權限電話）的風險。

企業(yè)客戶還必須考慮幫助中心和客戶關懷。服務中斷、用戶假冒和話費欺詐都是嚴重的支持問題。解決中斷，使成為這類攻擊犧牲品的雇員及時恢復服務會消耗資源，因此給生產力造成不利影響。安全事件可能給消費者、用戶、管理層、甚至股東的信心所造成的影響是長期的。

 對策

VoIP是一種新的、不同類型的Internet應用，但它歸根結底是另一種利用IP提交的實時數(shù)據(jù)流。很多目前廣泛用于保護其他應用（從Telnet和FTP到Web、電子郵件和即時消息）的安全措施，可被用于提高VoIP安全。

大多數(shù)VoIP服務應用運行在商用服務器操作系統(tǒng)上。加固服務器、使用反竊聽和主機入侵檢測技術，可改進企業(yè)的基本VoIP安全。最常見的、被廣泛建議使用的語音應用服務器安全措施包括：

● 用最新的補丁修補操作系統(tǒng)和VoIP應用程序

● 只運行提供和維護VoIP服務所需的應用程序

● 對管理和用戶賬戶訪問進行更強認證

● 只開通維護和正確操作所需的用戶賬戶，以阻止強行入侵

● 實施嚴格的認證政策，阻止對VoIP服務和賬戶數(shù)據(jù)的非法訪問

● 審計管理用戶會話和相關的服務活動

● 安裝和維護服務器防火墻、反惡意軟件程序和防竊聽措施來阻止DoS攻擊

● 安全地配置VoIP應用來防止濫用。例如，可呼叫國家代碼的白名單可以阻止某些可能導致話費欺詐與非法使用的呼叫轉發(fā)、轉移。

一旦VoIP服務器和它們運行的應用得到可靠配置，應當圍繞服務器添加多層安全防線來建立縱深防御。利用分離的物理或虛擬LAN（VLAN）來傳送管理、語音和數(shù)據(jù)流，將VoIP服務器和所需要的基礎設施（例如DNS、LDAP）與客戶終端（電話、PC和便攜機）隔離。

利用防火墻把可能跨越VLAN邊界的傳輸流類型限制在只有那些必要的協(xié)議范圍之內。這種隔離對于減少惡意軟件由被傳染的客戶機向單一操作系統(tǒng)（比如Windows）網(wǎng)絡的傳播尤其有效。這種作法常常導致每個隔離防火墻中的安全策略比用戶在單個防火墻中必須維護的策略更為簡單。

分段是一種功能強大的安全工具，因此不要止步于此。同樣這些用于加強安全的分段方法可被用于實現(xiàn)QoS：例如，把SIP電話限制在它們自己的VLAN上，有助于將VoIP限制在獲得許可的設備上，并且在當IP從網(wǎng)絡邊緣向核心傳送時賦予VoIP更高的優(yōu)先級。

應當考慮將語音用戶代理（硬電話）與用于訪問網(wǎng)絡數(shù)據(jù)應用程序的PC和便攜機隔離開。這可以防止針對某一數(shù)據(jù)段的成功攻擊傳播和干擾語音系統(tǒng)。在應用分段和基于策略的隔離時，防火墻的性能可能成為問題，因此，應當謹慎規(guī)劃，避免給傳送媒體流的路徑增加延時。

終端安全為VoIP部署增加了一層外圍安全防線。IEEE 802.1x基于端口的網(wǎng)絡訪問控制和等價的網(wǎng)絡訪問技術，在設備通過安全檢查前，阻止設備使用LAN或WLAN，又建立了一層授權控制防線。

管理人員可以選擇阻止傳染上惡意軟件或不滿足其他訪問標準（如是否安裝了最新補丁和恰當配置的防火墻）的設備。他們可以將不符合要求的設備改向連接在一個提供有限服務的隔離LAN網(wǎng)段上，或改向連接在一條LAN上，在這條LAN上，軟電話用戶可以訪問滿足訪問標準所需的軟件、補丁和惡意軟件特性更新包。在很多情況下，這些安全措施可在認證之前實行，以阻止惡意軟件（鍵盤記錄器）捕獲用戶的證明信息。

利用防火墻執(zhí)行安全策略的公司可能發(fā)現(xiàn)他們目前的防火墻不適合于完成保護語音和數(shù)據(jù)安全的任務。傳統(tǒng)的防火墻在設計上根據(jù)TCP、用戶數(shù)據(jù)報協(xié)議（UDP）和IP包頭信息（例如IP地址、協(xié)議類型和端口號），允許或拒絕傳輸流。

VoIP協(xié)議使用很大范圍的UDP端口并動態(tài)將它們分配給媒體流。很多傳統(tǒng)的防火墻不能在不被VoIP使用或其他濫用大量的永久開放端口號的條件下適應這種行為。某些防火墻不能高效率地處理UDP；另一些防火墻不支持控制時延和抖動的QoS措施，使VoIP呼叫具有電信級的語音質量。

IT管理人員應當考慮選擇這樣的防火墻：具有SIP識別能力、可以檢測和保護SIP信令消息、并且在不增加顯著時延的情況下就可以處理RTP媒體流。

應用層網(wǎng)關（代理服務器）能夠在VoIP部署中發(fā)揮有益的作用。將SSL隧道技術集成到SIP代理服務器中，正在成為一種改進認證和增加用戶代理與SIP代理服務器之間交換信息的保密性與完整性保護的流行方式。

很多企業(yè)正在考慮建立SSL連接，以保護企業(yè)內部以及企業(yè)間SIP代理服務器之間的信令傳輸流。如果企業(yè)用戶必須在全局和本地RTP  IP地址和端口間中繼媒體流，RTP代理服務器可能是其合適的選擇。另一些企業(yè)將選擇利用他們在IPSec中的投資來保護站點間的VoIP傳輸流。

在一些配置中，企業(yè)可以嘗試建立為語音流分配高于數(shù)據(jù)優(yōu)先級的IPSec安全聯(lián)系，優(yōu)先處理VoIP傳輸流。一些企業(yè)可能希望過濾經(jīng)過會話邊界控制器（SBC）的信令傳輸流和RTP媒體流。SBC作為“背對背”用戶代理來運行，連接和把策略應用于公共與專用用戶代理之間的呼叫。SBC在一些方面行為就像是一臺安全的電子郵件代理服務器。它可以重寫消息頭，隱藏專用網(wǎng)絡的細節(jié)（如地址），剝除未知的和不符合要求的包頭SIP域并限制被叫方的號碼。由于媒體傳輸流經(jīng)過SBC傳送，因此可以對它們執(zhí)行RTP策略。

這些安全措施以及主動的安全監(jiān)測和入侵檢測與防御方案，不僅將改進VoIP安全，而且還可以大大降低企業(yè)在引進VoIP時給數(shù)據(jù)網(wǎng)絡帶來的風險，甚至在VoIP協(xié)議和架構中集成了安全增強功能后，其中的很多措施仍將繼續(xù)在部署中發(fā)揮作用。

編看編想

頂盔貫甲的武士

VoIP從應用之初就開始面臨著方方面面安全的危脅。以至于用戶們不得不時時刻刻小心那些來自電話線路盜用者、電話欺詐、嗅探器、廣播風暴、無線電干擾等威脅對其VoIP網(wǎng)絡的突襲。然而襲擊總是防不勝防的。因此，到目前為止，還沒有一種安全的解決方案能夠解決VoIP用戶面臨的所有安全問題。

不過話說回來，層出不窮的威脅也使網(wǎng)絡和VoIP提供商為用戶想得極盡周全，從終端、網(wǎng)絡、協(xié)議到策略，VoIP已經(jīng)被“武裝到了牙齒”。可以想象一個”頂盔貫甲“的VoIP“武士“還是有足夠防御能力的。只是太多的”甲胄“可能會占用較多的資源，也會顯得行動不便。