首 页 ＞ 技术支持 ＞VOIP网络电话

VOIP安全漏洞的防范

       笔者见到很多用户部署VoIP时，往往采用VoIP和一般性数据混合在一个网络之中。这种部署方式的最大软肋在于，因VoIP对带宽以及QoS的需求与一般数据并不相同，将直接导致交换、路由器以及网络上诸多安全设备的传输效能大大降低。

　　将VoIP数据与一般性数据进行甄别之后，分开传输无疑是最恰当的方法。而这一方法也是思科等VoIP设备供应商们的推荐方法之一。

　　具体方法是，将语音和数据划分到不同的虚拟局域网（VLAN）中分开，让语音和数据在不同的虚拟局域网上传输；将VoIP统一到同一个VLAN中，在同一VLAN中传输的数据对服务质量（QoS）要求相同，可以简化服务质量（QoS）设置。QoS设置简化后，用户只需为VoIP虚拟局域网赋予优先级即可。有一点需要注意，当VoIP如果要通过路由器进行传输，仍需要第三层服务质量。

　　这种方法带来直接的好处是，两者分开还可以将语音网络从数据VLAN中隐藏起来，可以有效地解决数据欺骗、DoS攻击等，因此没有了可能会发起攻击的计算机，你的VoIP网络就会安全很多。

　　加固你的VoIP服务器防范窃听
　　 实际上，将VoIP信号统一到同一个VLAN中，除了上述优点之外，还可以大大降低窃听电话现象的发生。如果语音包被人用分析仪获取，重放语音就轻而易举。虚拟局域网可以阻止有人从外面发动攻击。

　　俗话说"家贼难防"，上述方法只能防范外部网络电话的窃听行为，对内部攻击却难以预防。因为内部人员只要将任意一个终端设备接入网络之中，进行适当配置，披上伪装成为VoIP虚拟局域网的一部分，就可以任意窃听。要防止这种破坏，最好的办法就是购买具有强加密功能的VoIP电话，而这种方法要奏效，每只电话都要有加密功能。这种防范方法造价高，其保密效果到底能提升到何种程度，都很难说。

　　另外一种更为直接有效的方法是"釜底抽薪"。也就是将VoIP服务器从物理上杜绝内部和外部攻击者，以避免别有用心者利用侦听技术来截取VoIP信息。具体方法是，锁定能够访问VoIP管理界面的IP地址和MAC地址，同时在SIP网关前放置防火墙，以达到只允许合法用户才可以进入相关VoIP系统。

　　譬如说，Ingate公司的防火墙就是为基于SIP的VoIP系统而设计。Ingate最近宣布，如今其产品已通过了认证，能够与Avaya公司的基于SIP的产品协同工作。确保你实施的VoIP系统基于SIP，那样以后需要安全选项功能时不至于只能求助于你现有的VoIP厂商。

　　有些用户不仅使用防火墙，还对相关的VoIP数据包进行加密。然而你可知道，仅仅加密发送出去的数据是不够的，还必须加密所有呼叫信号。加密语音数据包可以防止语音插入。例如可以通过实时安全协议（SRTP）来加密节点之间的通信，通过TLS来加密整个过程。

录入时间:2008-02-18  来源:网络

 

相关文章：