首頁 > VoIP的核心是將語音、數(shù)據(jù)整合在同一個IP網(wǎng)絡(luò)上進行傳輸,以此實現(xiàn)對企業(yè)通信成本的節(jié)省。但是從應(yīng)用的角度看,由于VoIP傳輸語音是基于傳統(tǒng)的包交換方式,因此大量的語音數(shù)據(jù)包也給病毒和攻擊者提供了更多的可乘之機。
中小企業(yè)沒有足夠的安全管理機制和維護人員,不可能像大型企業(yè)那樣投入巨大的成本構(gòu)建一層又一層的強大防御體系,因此中小企業(yè)對IP通信安全更集中在簡單和有效上面。采用VoIP產(chǎn)品不僅僅是添加了一部網(wǎng)絡(luò)電話,如果不做好相應(yīng)的防護措施,它很有可能將成為黑客輕松進入企業(yè)內(nèi)網(wǎng)的一扇門。
既然是以IP網(wǎng)絡(luò)承載語音傳輸,那么大部分出現(xiàn)在IP網(wǎng)絡(luò)上的安全問題,VoIP也不能置身事外。另外,VoIP應(yīng)用的特殊性使其需要更具有針對性的措施來加強安全性。
獨立VLAN傳輸
將VoIP和數(shù)據(jù)整合在同一個網(wǎng)絡(luò)中,從部署方式上看其最大的缺陷在于,因VoIP對帶寬以及QoS的需求與數(shù)據(jù)并不相同,因此可能直接導(dǎo)致交換、路由以及網(wǎng)絡(luò)上諸多安全設(shè)備的傳輸效能大大降低。
如果將VoIP數(shù)據(jù)與一般性數(shù)據(jù)進行甄別之后,分開傳輸無疑是保證不同數(shù)據(jù)流之間獲得不同級別安全保障的恰當(dāng)方法。具體方法是將語音和數(shù)據(jù)劃分到不同的虛擬局域網(wǎng)(VLAN)中,讓語音和數(shù)據(jù)在不同的VLAN上傳輸,這樣可以簡化服務(wù)質(zhì)量(QoS)設(shè)置。QoS設(shè)置簡化后,用戶只需為VoIP虛擬局域網(wǎng)賦予優(yōu)先級即可。
這樣做的好處是既保證了語音和數(shù)據(jù)在同一個網(wǎng)絡(luò)上傳輸,不需要增加新的帶寬投資,又可以把兩者分開,將語音流隱藏在VLAN中,從而有效地解決數(shù)據(jù)欺騙、DoS攻擊等安全威脅影響到語音傳輸。
隔離加冗余
為所有語音數(shù)據(jù)流創(chuàng)建獨立的VLAN,已經(jīng)在一些傳統(tǒng)的企業(yè)中得到了比較好的應(yīng)用效果。北京威斯汀金融街大酒店為全部400多間客房配置了IP電話,同時也給每一個客房分配了一個專門用于IP語音傳輸?shù)腣LAN,該酒店電腦部工程師告訴記者,這種部署方式可以有效地保證IP語音的話音質(zhì)量。另外,除了防護網(wǎng)絡(luò)攻擊的優(yōu)點之外,獨立的VLAN還可以大大降低竊聽電話現(xiàn)象的發(fā)生。
另外一種有效的方法是將VoIP服務(wù)器從物理上隔絕內(nèi)部和外部攻擊,以避免別有用心者利用偵聽技術(shù)來截取VoIP信息。具體方法是,鎖定能夠訪問VoIP管理界面的IP地址和MAC地址,同時在SIP網(wǎng)關(guān)前放置防火墻,以達(dá)到只允許合法用戶進入相關(guān)VoIP系統(tǒng)的目的。
竊取VoIP賬號是黑客借助VoIP網(wǎng)絡(luò)偽裝成合法客戶,進入企業(yè)網(wǎng)絡(luò)最常用的方法之一。這勢必會引起網(wǎng)絡(luò)流量驟增,引發(fā)DoS攻擊幾率大大增加。
通過部署合適的監(jiān)視工具和入侵檢測系統(tǒng),可以發(fā)現(xiàn)試圖攻入VoIP網(wǎng)絡(luò)的各種嘗試。另外,一旦發(fā)生DoS攻擊或病毒導(dǎo)致網(wǎng)絡(luò)癱瘓,冗余設(shè)計就是十分必要的保障手段,系統(tǒng)在遭受攻擊后可以自動切換到另一套設(shè)備上,可以最大限度地減少掉線、延遲和呼叫失敗等問題。
“道高一尺,魔高一丈”。有攻擊就會有防范的手段,而有一種防護手段就還會有更多的攻擊。這就像現(xiàn)在的“流感”一樣,特效藥不知道已經(jīng)發(fā)明了多少種,但病毒也不斷隨之變異。至今,醫(yī)學(xué)界也沒有找到一種能夠根除流感的方法,我們能做的就是更好地預(yù)防。
網(wǎng)絡(luò)世界
