VoIP安全.docVIP

VoIP安全：2009年企业网络面临的威胁和解决方案 网络管理员被要求部署这些新网络来提供最高品质的府服务，同时又不能破坏网络整体性。不过向本地网络引入任何新的IP设备，都会带来新的安全威胁，企业不仅需要了解这些威胁，而且需要为这些威胁做好准备。 　　随着经济危机带来的持续的资金压力，大型企业和中小企业都开始转向VoIP以进一步节省开支。现在越来越多的数据使用IP作为数据和声音主要传输工具，这将为现有服务(如声音流量等)提供基础，并且将会在未来成为新应用程序(如视频等)带来契机。 　　在企业网络中，软件客户端、强大的多功能处理设备、IP启用的企业无线网络、SIP启用的手机和IP PBX变得越来越普遍了。网络管理员被要求部署这些新网络来提供最高品质的府服务，同时又不能破坏网络整体性。不过向本地网络引入任何新的IP设备，都会带来新的安全威胁，企业不仅需要了解这些威胁，而且需要为这些威胁做好准备。 　　VoIP安全趋势 　　2009年的安全威胁大部分都是已知的漏洞，不过还有一些新的威胁。这些漏洞大部分最早是在2002年被发现的，人们在部署VoIP研究如何节省服务(如长距离)传输的费用时发现的。现在，存在很多技术的和程序的解决方案可以缓解这些潜在的威胁。这些解决方案可以直接由大型企业部署，大约可以为上千个远程未知提供服务，或者作为管理性的VoIP/安全服务传送给较小型企业。以下是关于几个主要威胁的大概介绍以及解决方案，企业可以通过下面提供的解决方案部署一个强大的、可靠的安全网络。 　　威胁1: DoS/DdoS攻击 　　这是黑客社区一直喜欢使用的攻击方式，这些攻击可能来自不同的协议水平，如IP层、SIP层等，并且黑客经常使用这种攻击来消耗带宽和资源，特别是位于网络边缘的元素。这种类型的攻击统一可能影响试图打电话的客户。 　　解决方案： 　　要想确保大型企业网络免受这种类型的威胁，企业需要部署一个专门用来衡量管理网络边缘各种活动的企业级别解决方案。这种衡量是很重要的，因为它能够确保(当面临威胁时)安全的边缘元素本身没有被攻击，否则，它也会成为DoS代理。对于中小企业而言，可以部署本地产品或者将其作为托管服务的一部分，保护SIP端口汇聚以及IP PBX。 　　威胁2:窃听风云 　　只要使用窥探工具就可以窃听核心网络的语音童话，最常被窃听的地址是使用SIP端口汇聚从VoIP供应商MPLS向中小企业局域网发送的不受保护的网络连接。 　　解决方案： 　　要想减小本地网络内的这种风险以及维护电话保密性，虚拟局域网络(VLAN)可以用来分离流量或者/和加密媒体流到企业边缘。很多基于SIP的端点(如IAD整合接入设备或者IP PBX)都支持“内置”的签名加密(TLS—传输层安全或者IPSec)和媒介(Secure RTP)同样也可以解决这个问题。 　　威胁3: 供应商缺乏强硬的VOIP组件 　　在企业VOIP网络中(IP PBX、功能服务器、交互式语音回应IVR、语音系统、供应系统、SIP代理、智能电话等)很多组件使用商品操作系统，如Windows、Solaris和 Linux等，然而这些都很容易受到O/S攻击，如病毒和恶意软件等。 　　解决方案： 　　企业VOIP网络的所有组件都必须进行适当的加强，客户必须要求他们的供应商在购买前确认是否强化他们的产品。这是数据世界的最佳做法，当添加IP语音功能到混合整体时也是很适用的。这主要需要顾客自身去争取，但是从长远价值来看是很值得的。 　　威胁4: 遵从系统操作的“最佳做法” 　　最近的一次互联网调查发现，某IP PBX供应商直接连接到互联网，造成几个系统都被登陆且被泄漏，只是因为默认密码没有更改。这是IP网络发生的不必要的后果。 　　解决方案： 　　这只是一个简单的威胁，只要花点时间在安装新系统的时候更改出场默认设置密码就可以避免。并且，正如上文提到的，任何基于商品操作系统的 VoIP组件都必须被强化，禁用不必要的服务和不使用的端口。另外，为了审计目的和可追踪性而执行安全相关的事件日志记录也是很重要的，以确保网络完整性。 　　威胁5: 语音钓鱼和SPIT和不必要的电话 　　就像不必要的电子邮件(垃圾邮件)一样，黑客可以很轻松的设置多个系统或者僵尸网络来阻拦VoIP电话，这种现象也被称为互联网电话垃圾邮件。另外，黑客统一可以利用语音钓鱼攻击来欺骗终端用户，以某个合法原因诱使他们来输入个人信息，如信用卡号码、银行帐号、社会安全号码等待。 　　解决方案： 　　当用户在填写表格以购买在线网络服务时就应该注意这个问题，并且在没有适当的身份证明之前，不要把自己的身份信息泄漏给他人。现在有很多先进的技术可以阻止不必要的电话来解决这个问题。设备和用户验证是使网络管理员确定电话是来自合法对象或者授权代理的方法，并以此来降