針對所有這些已知的VoIP安全威脅進行安全防護是完全有可能的。采用標準的安全技術和安全實踐措施是非常必要的一步,諸如使用防火墻和實施良好的設計和運行策略,其中一個辦法是通過虛擬局域網(VLAN)技術來將數據和語言業(yè)務分開,讓語音和數據在不同的虛擬局域網上傳輸;將VoIP統(tǒng)一到同一個VLAN中,在同一VLAN中傳輸的數據對服務質量(QoS)要求相同,可以簡化服務質量(QoS)設置。QoS設置簡化后,用戶只需為VoIP虛擬局域網賦予優(yōu)先級即可。
這種方法帶來直接的好處是,兩者分開還可以將語音網絡從數據VLAN中隱藏起來,可以有效地解決數據欺騙、DoS攻擊等,因此沒有了可能會發(fā)起攻擊的計算機,你的VoIP網絡就會安全很多。
但是,使用標準安全技術不是保證VoIP安全的全部答案。標準安全技術只能解決標準威脅,我們還需要采取針對性的措施來完全解決許多VoIP特有的安全威脅。就像人們在保護電子郵件和Web應用的時候可以采用諸如垃圾郵件過濾器、Web內容控制和訪問策略系統(tǒng)等特殊手段一樣。而VoIP的復雜性顯然要比電子郵件和網頁更加復雜的多。
和需要采取專門的安全技術來保護VoIP網絡一樣,也同樣需要采用專門的測試和分析技術來識別VoIP網絡的特有安全威脅。標準的入侵和測試工具或許能夠很好的發(fā)現網絡級別的安全漏洞,但是在探測VoIP應用軟件、協(xié)議和內容威脅方面還顯得能力不足。
現在已經有專門保護VoIP網絡的專用防火墻,它能識別和分析VoIP協(xié)議,而且能對VoIP的數據包進行深度檢查,并能分析VoIP的有效載荷以便發(fā)現任何與攻擊有關的蛛絲馬跡。
另外,如果你的VoIP部署使用了SIP協(xié)議(Session Initiation Protocol),那么防火墻就應當能執(zhí)行下述操作:監(jiān)控進出的SIP信息,以便發(fā)現應用程序層次上的攻擊;支持TLS(傳輸層安全);執(zhí)行基于SIP的NAT以及介質端口管理;檢測非正常的呼叫模式;記錄SIP信息的詳情,特別是未經授權的呼叫。
盡管如此,我認為更重要的還是人們對VoIP網絡安全問題的正確意識,如果不能認識到這些安全風險的存在和危害,再好的技術和工具都不會完全解決VoIP網絡所面臨的安全威脅。
最后再來反駁一下那些認為SIPtap只有在加密和其他安全控制措施被關閉的情況才能進行竊聽的看法,據2007年11月份在北京舉行的SIPit大會數據顯示,目前只有25%的被測系統(tǒng)支持SRTP。SRTP是用來加密VoIP通話的公認標準,SIPit是一個SIP互聯(lián)互通的測試活動;蛟S這次大會所公布這個數字有些小,但是還是可以讓我們清晰的看到,關閉加密并不是讓VoIP網絡陷入安全威脅的主要原因,問題在于首先要讓VoIP系統(tǒng)廠商意識到要在它們的產品加入加密功能。
http://safe.zol.com.cn