《企業(yè)網(wǎng)D1Net》1月17日訊
從古代的飛鴿傳書(shū),到現(xiàn)在的電話通信,人類的通信方式經(jīng)歷了千年變化,現(xiàn)如今,電話早已是現(xiàn)代人司空見(jiàn)慣的東西,手機(jī)更已經(jīng)不是什么稀罕物,人手一只兩只甚至更多毫不為奇,但如果說(shuō)起VOIP,看上去就有些深?yuàn)W的意思了,那么VoIP到底是什么呢?是一種以IP電話為主,并推出相應(yīng)的增值業(yè)務(wù)的技術(shù)。VoIP最大的優(yōu)勢(shì)是能廣泛地采用Internet和全球IP互連的環(huán)境,提供比傳統(tǒng)業(yè)務(wù)更多、更好的服務(wù)。
VoIP可以在IP網(wǎng)絡(luò)上便宜的傳送語(yǔ)音、傳真、視頻、和數(shù)據(jù)等業(yè)務(wù),如統(tǒng)一消息、虛擬電話、虛擬語(yǔ)音/傳真郵箱、查號(hào)業(yè)務(wù)、Internet呼叫中心、Internet呼叫管理、電視會(huì)議、電子商務(wù)、傳真存儲(chǔ)轉(zhuǎn)發(fā)和各種信息的存儲(chǔ)轉(zhuǎn)發(fā)等。歸根結(jié)底,VOIP是互聯(lián)網(wǎng)上的一種應(yīng)用,因此與電子郵件、即時(shí)訊息或者網(wǎng)頁(yè)沒(méi)有什么不同,也正是這個(gè)原因使得VOIP可以獲得更低甚至是免費(fèi)的資費(fèi),同樣,低廉的資費(fèi)讓其擁有十分龐大的用戶群體,可以說(shuō)這是一個(gè)良性的循環(huán)鏈條。
但既然前面說(shuō)到VOIP作為一種在互聯(lián)網(wǎng)上面的應(yīng)用,與電子郵件、即時(shí)訊息等有相似之處,那么在共同分享優(yōu)點(diǎn)的同時(shí),VOIP也必然擁有同樣的安全風(fēng)險(xiǎn),所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會(huì)影響到VoIP網(wǎng)絡(luò),如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽(tīng)、數(shù)據(jù)嗅探等。
無(wú)論是研發(fā)了可以竊聽(tīng)VoIP網(wǎng)絡(luò)電話的“概念證實(shí)”(Proof—of—Concept)型軟件的SIPtap英國(guó)安全專家、防火墻公司Borderware創(chuàng)辦人之一Peter Cox,還是通過(guò)一篇博客進(jìn)入到了所住酒店財(cái)務(wù)系統(tǒng)和內(nèi)部公共網(wǎng)絡(luò)系統(tǒng),并且獲取下了酒店內(nèi)部通話記錄的圣地亞哥黑客會(huì)議局的安全專家,他們都用自己的行動(dòng)證明了基于網(wǎng)絡(luò)的VoIP存在很多漏洞。即便如此,那么是否要完全摒棄VOIP呢?顯然答案是否定的,因?yàn)閂OIP的好處要遠(yuǎn)遠(yuǎn)勝過(guò)它的弊端,因此面對(duì)VOIP可能帶來(lái)的安全風(fēng)險(xiǎn),專家給出了如下的應(yīng)對(duì)之道。
1、對(duì)語(yǔ)音和數(shù)據(jù)分別劃分VLAN
對(duì)語(yǔ)音和數(shù)據(jù)分別劃分VLAN,這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數(shù)據(jù)。劃分VLAN也有助于防御費(fèi)用欺詐、DoS攻擊、竊聽(tīng)、劫持通信等。VLAN的劃分使用戶的計(jì)算機(jī)形成了一個(gè)有效的封閉的圈子,它不允許任何其它計(jì)算機(jī)訪問(wèn)其設(shè)備,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊,也會(huì)將損失降到最低。
2、采取多層次安全機(jī)制
要想建立一個(gè)安全的VoIP網(wǎng)絡(luò),就要給你的Voip多穿幾層鎧甲采取多層次安全機(jī)制,在潛在入侵者的攻擊路線上盡可能多地設(shè)置各種障礙。VoIP網(wǎng)絡(luò)的安全性,既依賴于底層的操作系統(tǒng)又依賴于運(yùn)行其上的應(yīng)用軟件。保持操作系統(tǒng)及VoIP應(yīng)用軟件補(bǔ)丁及時(shí)更新對(duì)于防御惡意程序或傳染性程序代碼是非常重要的。對(duì)于目前存在的VoIP安全漏洞及時(shí)更新,通過(guò)端口管理,進(jìn)行適當(dāng)增加訪問(wèn)控制列表。
2、監(jiān)控跟蹤建立冗余
監(jiān)控工具和入侵探測(cè)系統(tǒng)能幫助用戶識(shí)別那些侵入VoIP網(wǎng)絡(luò)的企圖。詳細(xì)觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西,如莫名其妙的國(guó)際電話或是本公司或組織基本不聯(lián)系的國(guó)際電話,多重登錄試圖破解密碼,語(yǔ)音暴增等。要時(shí)刻準(zhǔn)備著可能會(huì)遭到病毒、DoS攻擊,它們可能會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。構(gòu)建能夠設(shè)置多層節(jié)點(diǎn)、網(wǎng)關(guān)、服務(wù)器、電源及呼叫路由器的網(wǎng)絡(luò)系統(tǒng),并與不只一個(gè)供應(yīng)商互聯(lián)。經(jīng)常性的對(duì)各個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行考驗(yàn),確保其工作良好,當(dāng)主服務(wù)網(wǎng)絡(luò)癱瘓時(shí),備用設(shè)施可以迅速接管工作。
4、將設(shè)備置于防火墻之后
建立分離的防火墻,這樣通過(guò)VLAN邊界的通信僅限于可用的協(xié)議。萬(wàn)一客戶端受到感染的話,這會(huì)防止病毒、木馬擴(kuò)散到服務(wù)器。建立分離的防火墻后,系統(tǒng)安全策略的維護(hù)也會(huì)變得簡(jiǎn)單。當(dāng)需要時(shí),必須正確配置防火墻以便開(kāi)放或關(guān)閉某些端口。
D1Net評(píng)論:
“與天斗,與地斗,與人斗,其樂(lè)無(wú)窮”,偉大領(lǐng)域毛主席,曾經(jīng)這樣說(shuō)過(guò),今天看來(lái),從安全的角度而言,與黑客斗,同樣其樂(lè)無(wú)窮,對(duì)于保護(hù)Voip的安全,最重要的是要加強(qiáng)防范意識(shí),首先得看到危機(jī)所在,提高警惕,做到防患于未然,與此同時(shí),要及時(shí)維護(hù)操作系統(tǒng)和VoIP應(yīng)用系統(tǒng)的補(bǔ)丁,與敵人同進(jìn)退,這對(duì)于防范來(lái)自惡意軟件或病毒的威脅也是非常重要的。