用多層次方法保VoIP安全
加入技術交流群
現在流行的IP網絡模型將網絡通信進程分成了不同層面——這樣讓人更易于理解,部署和調試。不管是國際標準組織制定的7層模型,或是美國國防部開發的4層模型,都能讓人更好地理解每一層面上運作的協議,對所有IP加密來說也都是必要的(包括VoIP)。
當然,在所有安全措施當中,多層次方法的效果最好。例如,你可能會為保護自己的家庭財產免遭盜賊毒手而實施一個多層次方法:在房子周圍豎起籬笆,并鎖上了籬笆的大門;在院子里養一條大狗;又在門上和窗戶上安裝防盜鎖;然后又安裝了一套防盜報警系統;最后還把家里值錢的東西放在一個很隱秘的地方,以防萬一有人可以繞過你以上所有安全措施并偷走值錢東西。
同樣,要保護你的VoIP網絡,最好的方法也是采取一種多層次安全機制,在潛在入侵者的攻擊路線上盡可能多地制造各種障礙。
分離語音和數據網絡
要建立一個安全的VoIP網絡,首要的步驟就是將其從你的數據網絡中獨立出來。
雖然將所有網絡集成到一起,可能在管理的簡易性及協同工作方面更加理想,但并不安全。最好的選擇是使用VLAN交換機將數據網絡和語音網絡從邏輯上分離開來——這意味著對數據網絡進行的攻擊將不會影響到你的VoIP系統。
要將VoIP網絡從數據網絡中分離出來,首先要將分離VLAN上的VoIP話機設為非路由的地址;然后禁止連接互聯網的電腦與VoIP之間有任何交流;接下來還要使用存取控制列表(Access control lists)來阻止VLAN之間的通訊。
配備VoIP專用防火墻
對一個IP網絡來說,邊界保護通常意味著使用防火墻,但是一個老舊的防火墻是不適合VoIP網絡的。你需要一個特別設計的防火墻,它得能識別和分析VoIP協議,能對VoIP的數據包進行深度檢查,并能分析VoIP的有效載荷以便發現任何與攻擊有關的蛛絲馬跡。
如果你的VoIP部署使用了SIP協議(Session Initiation Protocol),那么防火墻就應當能執行下述操作:監控進出的SIP信息,以便發現應用程序層次上的攻擊;支持TLS(傳輸層安全);執行基于SIP的NAT以及介質端口管理;檢測非正常的呼叫模式;記錄SIP信息的詳情,特別是未經授權的呼叫。
保護好VoIP網關
網關是數據進出VoIP網絡的關鍵點,它會同時連接不同的網絡,如IP網絡和公共電話交換網(PSTN)。你應當在網關上使用授權機制以及存取控制,以便控制可通過VoIP系統撥打和接聽電話,以及設定可以執行管理任務的不同人員權限等等。
鎖閉網絡物理層
對一個語音網絡而言,限制對介質訪問以及對VoIP服務器和端點訪問非常重要。 {{分頁}}
那些對介質有存取權限的入侵者們,可能是接上了一臺交換機或集線器,也可能是直接轉接電纜,或是對無線通信進行接聽——通過使用一個“嗅探器”軟件來捕獲包含語音數據及信號等信息在內的所有的數據包。然后他們可以使用類似VOMIT這樣易用的工具來對數據進行重新整合,從而實現對會話的竊聽,他們甚至可以對通訊過程進行修改,并將之運用于語音重放攻擊之中。
要達到限制對介質訪問或對VoIP服務器和端點訪問的目的,你得先將所有呼叫服務器都存放在一個上鎖的房間中,以對所有和服務器有關的接觸進行控制;而后限制對終端的接觸(包括硬電話機,安裝在電腦中的“軟電話機”程序),并將線纜埋設在墻體中的管道里以保證它們自身的安全;最后你還要謹慎選擇無線AP的位置,限制無線交流,限制信號強度,使用屏蔽材料將無線信號盡量阻擋在建筑物之內。
用IPSec加密網絡層
你可以使用IPSec加密來保護網絡中的VoIP數據;如果攻擊者穿越了你的物理層防護措施,并截獲了VoIP數據包,他們也無法破譯其中的內容。IPSec使用認證頭以及壓縮安全有效載荷來為IP傳輸提供認證性、完整性以及機密性。
VoIP上的IPSec使用隧道模式,對兩頭終端的身份進行保護。IPSec可以讓VoIP通訊比使用傳統的電話線更安全。
用TLS鎖定會話層
你還可以使用TLS來保護VoIP會話,TLS使用的是數字簽名和公共密鑰加密,這意味著每一個端點都必須有一個可信任的、由權威CA認證的簽名。或者你也可以通過一個內部CA(比如一臺運行了認證服務的Windows服務器)來進行企業內部的通話,并經由一個公共CA來進行公司之外的通話。
用SRTP保護應用層
你可以使用“安全RTP(SRTP)”來對應用層的介質進行加密。RFC 3711定義了SRTP,讓它可以提供信息認證、機密性、回放保護、阻止對RTP數據流的拒絕服務式攻擊等安全機制。通過SRTP,你可以對無線網和有線網上的VoIP通訊進行有效的保護。
總結
基于IP網絡及其協議的公共性質,使得VoIP天生就具備相對于傳統電話網而言更易受到攻擊的特質。不過,通過采取一個仔細規劃的、多層次的VoIP網絡防護措施,企業就可以讓VoIP網絡的安全程度趕上甚至是超過傳統的電話系統。
評論