VoIP安全问题解析
生活随笔
收集整理的這篇文章主要介紹了
VoIP安全问题解析
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
VoIP應用及其安全問題的現狀 VoIP是Voice Over Internet Protocol的縮寫,意即基于IP的語音通信,我們通常稱其為網絡電話技術。VoIP技術使我們可以基于類似Internet這樣的數據網絡實現電話業務。這種實現模式提供更多的集成功能、更高的通信帶寬、更穩定的通信質量以及更靈活的管理能力,并能夠顯著降低成本。最為重要的是,由于VoIP為市場提供了傳統通信服務商之外的選擇,所以其對整個行業格局的深遠影響恐怕才是近年來VoIP成為網絡應用領域熱門話題的最核心原因。VoIP的前景固然是極為美好的,但是想真正實現其目標所無法回避的一個問題就是安全。在當下VoIP應用規模相對較小的時期,安全方面的問題還沒有暴露的特別明顯。但是當業務量達到與傳統電話一較短長的時候,安全方面的負擔就可能稱為VoIP技術的致命傷,這也是VoIP能否替代傳統電話服務的重中之重。針對這種情況,AVAYA、賽門鐵克、西門子等業界重量級的業界廠商還于近日專門成立了VoIP安全聯盟,以期為VoIP創造一個更加堅實的發展基礎。 VoIP技術概觀
????
??? VoIP的基本技術原理是利用專門的算法對語音數據進行壓縮和編碼處理,然后將這些語音數據通過IP網絡傳輸到接收端,而接收端利用同樣的技術對語音數據進行解包還原處理,從而正確的恢復出語音信號。 VoIP在服務端的核心設備是VoIP網關,VoIP網關主要應用于企業內部分支機構之間的IP電話通信,而且該設備可以與企業已有的電話交換機(PBX)及集團電話設備良好的集成,有效節省企業的長話費用。另一種主要的服務端設備是VoIP網守,這種設備的主要功能是對網關設備進行管理。目前的VoIP網守主要負責實現用戶認證、地址解析、帶寬管理、路由管理、安全管理以及日志管理等功能。在客戶終端主要使用IP電話交換機(IP PBX)這樣的VoIP電話終端設備。IP PBX用于實現端到端的IP語音通信,同時其內置的CTI(計算機語音通信集成)功能能夠實現計算機應用系統與電話系統交互,從而使得數據信號與語音信號可以同時傳輸。 VoIP目前使用的信令協議主要是ITU-T的H.323協議以及IETF的SIP協議,而傳輸協議主要使用RTP。另外,由于用于數據傳輸的IP網絡通常是采用無服務質量保證的傳輸模式,容易造成數據分組丟失和延時等問題,而語音通信要求很高的實時性,所以VoIP通常還需要應用QoS技術來保障語音通信的正常進行。 VoIP的安全問題及解決方法 VoIP首先要面對的安全問題來自其自身的軟硬件設施。因為目前大部分VoIP設備基于標準操作系統,傳輸協議也屬于開放技術,所以有相當高的可能受到***者的襲擊。而且在大部分情況下VoIP設施需要提供遠程管理能力,其所依賴的服務和軟件也同樣可能存在安全漏洞。VoIP的實現依賴于TCP/IP協議棧的運行,所以TCP/IP協議面臨的所有安全問題我們都無法回避。包括蠕蟲病毒、***程序、DdoS***這些讓人頭痛的問題也注定要對VoIP應用環境造成困擾。這些方面的問題除了依賴廠商不斷對設備進行安全強化之外,還需要管理員將VoIP設施與其它計算機設施等同視之,注意跟蹤相關的安全漏洞信息發布,及時為VoIP設備打好補丁,并為VoIP環境提供防火墻等安全防御設施的保護。對于VoIP設備,應該比普通的計算機設備更加注重常見信息安全原則的實現,例如只提供必要的服務,關閉和屏蔽無用的端口等等。忽視這些原則將造成非常嚴重的安全危害。 另外,還要求管理員能夠不斷根據應用環境的變化調整和優化整個VoIP設施的配置,因為根據我們的經驗,即使一個系統在某一時點具有足夠強健的配置,但是隨著時間的推移,還是會有很多不易察覺的安全隱患滋生出來。特別是在VoIP設施的管理無法完全融入已有計算機設施管理的情況下,兩者任意一方的變更都會對另外一方造成潛在的安全威脅。我們建議不要將VoIP和企業的其它網絡應用部署在同樣的網段,必要的時候可以考慮使用VLAN分隔出不同的網絡區域供不同的應用使用,這樣既可以實現管理上的靈活,又可以提高線路的傳輸質量。如果VoIP服務要基于互聯網進行實施,應該盡可能的將其建構在***通訊之上,因為將會話毫無遮掩的暴露在互聯網上將面臨巨大的安全風險。雖然***信息同樣有被盜用和劫持的可能,但至少可以提供相當強度的保護,更何況現在***的實施成本和管理負荷已經下降到相當低的程度。 除此之外,我們還要面對傳統電話網絡需要面對的一些問題。類似電話盜打和監聽這樣的問題在VoIP的世界里同樣存在。盡管對基于IP技術的通信系統進行搭線要困難的多,但是網絡電話系統的登錄認證信息還是有可能被***者獲取。惡意***者很容易使用諸如數據包嗅探之類手段監聽VoIP設備的通信,并且諸如IP欺騙、會話劫持之類的***手段也會對我們的通信造成威脅。為了解決這些問題,一個最基本的方法就是對數據傳輸進行加密。其實這是任何***者都會感覺頭痛的一種安全措施。一旦信令、話音等各種數據實施了良好的加密之后,即使***者成功突破種種限制獲取了這些數據,他們也無法獲得任何對他們有用的東西。另一個具有很高實效的安全措施是進行地址認證,我們應該對訪問VoIP服務的客戶端地址以及登錄VoIP設備進行管理配置的遠程終端地址進行綁定,阻止來自不合法IP地址的訪問。雖然在某些情況下客戶端無法獲取固定的IP地址,使得這種策略無法實施,但是即使能夠按照網段進行管理,也會阻止大量的麻煩,所以這種措施值得我們給予充分的重視。 未來的努力 在使用傳統電話網的時候,我們通常無需為安全問題操心。而相比之下,VoIP網絡需要在安全方面付出的考量甚至超過了類似局域網合廣域網這樣的數據網絡。因為我們在面對TCP/IP網絡所固有的安全問題的同時,還要面對傳統電話網絡所遺留的問題。好在從前我們在計算機設施方面所獲得的所有安全知識和經驗,都可以對VoIP設施的安全產生有效的促進。只要企業的相關管理人員持有正確的觀念,認真的看待VoIP技術所面臨的安全威脅,并做出確實的努力,VoIP的安全問題是有可能獲得完滿解決的。 與50位技術專家面對面20年技術見證,附贈技術全景圖
????
??? VoIP的基本技術原理是利用專門的算法對語音數據進行壓縮和編碼處理,然后將這些語音數據通過IP網絡傳輸到接收端,而接收端利用同樣的技術對語音數據進行解包還原處理,從而正確的恢復出語音信號。 VoIP在服務端的核心設備是VoIP網關,VoIP網關主要應用于企業內部分支機構之間的IP電話通信,而且該設備可以與企業已有的電話交換機(PBX)及集團電話設備良好的集成,有效節省企業的長話費用。另一種主要的服務端設備是VoIP網守,這種設備的主要功能是對網關設備進行管理。目前的VoIP網守主要負責實現用戶認證、地址解析、帶寬管理、路由管理、安全管理以及日志管理等功能。在客戶終端主要使用IP電話交換機(IP PBX)這樣的VoIP電話終端設備。IP PBX用于實現端到端的IP語音通信,同時其內置的CTI(計算機語音通信集成)功能能夠實現計算機應用系統與電話系統交互,從而使得數據信號與語音信號可以同時傳輸。 VoIP目前使用的信令協議主要是ITU-T的H.323協議以及IETF的SIP協議,而傳輸協議主要使用RTP。另外,由于用于數據傳輸的IP網絡通常是采用無服務質量保證的傳輸模式,容易造成數據分組丟失和延時等問題,而語音通信要求很高的實時性,所以VoIP通常還需要應用QoS技術來保障語音通信的正常進行。 VoIP的安全問題及解決方法 VoIP首先要面對的安全問題來自其自身的軟硬件設施。因為目前大部分VoIP設備基于標準操作系統,傳輸協議也屬于開放技術,所以有相當高的可能受到***者的襲擊。而且在大部分情況下VoIP設施需要提供遠程管理能力,其所依賴的服務和軟件也同樣可能存在安全漏洞。VoIP的實現依賴于TCP/IP協議棧的運行,所以TCP/IP協議面臨的所有安全問題我們都無法回避。包括蠕蟲病毒、***程序、DdoS***這些讓人頭痛的問題也注定要對VoIP應用環境造成困擾。這些方面的問題除了依賴廠商不斷對設備進行安全強化之外,還需要管理員將VoIP設施與其它計算機設施等同視之,注意跟蹤相關的安全漏洞信息發布,及時為VoIP設備打好補丁,并為VoIP環境提供防火墻等安全防御設施的保護。對于VoIP設備,應該比普通的計算機設備更加注重常見信息安全原則的實現,例如只提供必要的服務,關閉和屏蔽無用的端口等等。忽視這些原則將造成非常嚴重的安全危害。 另外,還要求管理員能夠不斷根據應用環境的變化調整和優化整個VoIP設施的配置,因為根據我們的經驗,即使一個系統在某一時點具有足夠強健的配置,但是隨著時間的推移,還是會有很多不易察覺的安全隱患滋生出來。特別是在VoIP設施的管理無法完全融入已有計算機設施管理的情況下,兩者任意一方的變更都會對另外一方造成潛在的安全威脅。我們建議不要將VoIP和企業的其它網絡應用部署在同樣的網段,必要的時候可以考慮使用VLAN分隔出不同的網絡區域供不同的應用使用,這樣既可以實現管理上的靈活,又可以提高線路的傳輸質量。如果VoIP服務要基于互聯網進行實施,應該盡可能的將其建構在***通訊之上,因為將會話毫無遮掩的暴露在互聯網上將面臨巨大的安全風險。雖然***信息同樣有被盜用和劫持的可能,但至少可以提供相當強度的保護,更何況現在***的實施成本和管理負荷已經下降到相當低的程度。 除此之外,我們還要面對傳統電話網絡需要面對的一些問題。類似電話盜打和監聽這樣的問題在VoIP的世界里同樣存在。盡管對基于IP技術的通信系統進行搭線要困難的多,但是網絡電話系統的登錄認證信息還是有可能被***者獲取。惡意***者很容易使用諸如數據包嗅探之類手段監聽VoIP設備的通信,并且諸如IP欺騙、會話劫持之類的***手段也會對我們的通信造成威脅。為了解決這些問題,一個最基本的方法就是對數據傳輸進行加密。其實這是任何***者都會感覺頭痛的一種安全措施。一旦信令、話音等各種數據實施了良好的加密之后,即使***者成功突破種種限制獲取了這些數據,他們也無法獲得任何對他們有用的東西。另一個具有很高實效的安全措施是進行地址認證,我們應該對訪問VoIP服務的客戶端地址以及登錄VoIP設備進行管理配置的遠程終端地址進行綁定,阻止來自不合法IP地址的訪問。雖然在某些情況下客戶端無法獲取固定的IP地址,使得這種策略無法實施,但是即使能夠按照網段進行管理,也會阻止大量的麻煩,所以這種措施值得我們給予充分的重視。 未來的努力 在使用傳統電話網的時候,我們通常無需為安全問題操心。而相比之下,VoIP網絡需要在安全方面付出的考量甚至超過了類似局域網合廣域網這樣的數據網絡。因為我們在面對TCP/IP網絡所固有的安全問題的同時,還要面對傳統電話網絡所遺留的問題。好在從前我們在計算機設施方面所獲得的所有安全知識和經驗,都可以對VoIP設施的安全產生有效的促進。只要企業的相關管理人員持有正確的觀念,認真的看待VoIP技術所面臨的安全威脅,并做出確實的努力,VoIP的安全問題是有可能獲得完滿解決的。 與50位技術專家面對面20年技術見證,附贈技術全景圖
總結
以上是生活随笔為你收集整理的VoIP安全问题解析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 转《浅谈数据库设计技巧》
- 下一篇: [原创]关于打开新窗口和关闭老窗口的2个