VoIP网络安全性分析.doc

精品文档（可编辑） 值得下载 VoIP网络安全性分析 摘要: VoIP网络已逐步得到了广泛地应用，但随之而来的安全性问题也越来越突出，本文主要分析VoIP网络安全的重要性入手，对VoIP网络存在的安全隐患进行了分析，并给出了加强VoIP网络安全性的建议和方案。 关 键 词: VoIP安全漏洞；VoIP安全机制解决方案；VoIP安全措施 中图分类号：TU714文献标识码： A 一、VoIP产品本身存在一定的安全漏洞 目前VoIP各个设备厂家都有独立的语音服务器来提供语音网关或IP话机的注册和控制功能。这些语音服务器产品有的采用Windows NT操作系统，也有基于Linux或VxWorks的。这些开放的操作系统都不同程度地存在安全漏洞，无法保证这些产品是否已经弥补了安全漏洞。也就是说VoIP网关的自身安全性存在问题，会造成语音服务器存在潜在的安全漏洞。 （一） DoS攻击问题 VoIP系统采用了很多端口分别用于业务传输或呼叫建立以及系统管理，如果开放这些端口而又不在呼叫建立的认证协议方面加强，就为DoS攻击提供了目标，可能导致系统的不稳定甚至瘫痪。VoIP会话同时采用TCP和UDP，这些协议既可以从防火墙的内部启动也可以从防火墙外部启动。标准防火墙的配置是所有可能使用的潜在应用端口都是打开的，对于VoIP应用来说，就意味着会打开大量端口，从而产生了令人无法接受的安全漏洞。 （二）监听语音“窃听” 由于VoIP数据在数据网络上传输，比PSTN等电路交换模式的通信网更容易实现窃听，通过IP网中的常用窃听工具，如TCPDUMP、SNIFFER等对数据的侦听就有可能得到语音通信的内容。由于协议本身是开放的，即使是一小段的媒体流都可以被重放出来，而不需要前后信息的关联。如果有人在数据网络上通过窃听记录所有信息，并通过软件加以重放，将严重影响通信内容的安全，造成用户通信信息泄漏。 （三）对VoIP服务的盗用 尽管IP话机没办法通过并线的方式来打电话，但通过IP网络窃听方式窃取使用者IP电话的登录密码同样能够获得话机的权限。窃取用户帐户与密码信息后，攻击者可冒用用户身份进行大量语音通话，导致用户蒙受高额话费损失。同时，攻击者还能够向特定终端发送SIP控制包，将用户当前的语音呼叫重定位至不同的设备，使用户无法与呼叫目标通话。 （四）对数据网络的安全威胁 与其他数据网络设备一样，以TCP/IP协议栈为基础的IP语音设备面临无孔不入的病毒威胁。随着VoIP的逐步普及，各种IP语音终端和服务器也会成为病毒、蠕虫和木马程序的攻击目标。病毒不但会严重降低VoIP业务的性能，甚至会传播到数据网络的服务器，使数据网络遭到破坏。 二、VoIP安全机制解决方案 （一）选择合适的VoIP设备并及时加强软硬件的安全升级 尽管不同厂家的VoIP产品体系构架和操作平台不尽相同，但很多还是有相应的技术来保障其产品抵御病毒侵袭的能力。例如，很多厂家的产品采用了管理网段和用户的IP话音网段在物理上隔离的机制，尽可能少地将端口暴露在外网上。VoIP的实现依赖于TCP/IP协议栈的运行，所以TCP/IP协议面临的所有安全问题我们都无法回避，蠕虫病毒、木马程序、DoS攻击这些让人头痛的问题也注定要对VoIP应用环境造成困扰。这些方面的问题除了依赖厂商不断对设备进行安全强化之外，还需要管理员密切注意跟踪相关的安全漏洞信息发布，及时为VoIP设备打好补丁，并为VoIP环境提供防火墙等安全防御设施的保护。 （二）利用各种相关协议安全性机制提高VoIP的安全 不断完善加强VoIP相关协议的安全性机制是保障VoIP网络安全的根本。VoIP可采取两种方法通过其相关协议安全机制加强其安全性。a）在VoIP协议的内部建立安全机制，即制定其自身完善的安全协议，如H.323协议的H.235安全协议。b）采用外部协议的安全机制，如采用传输层安全（TLS）、IP安全性（IPSec）等安全协议。 （三）利用VPN技术增强VoIP的安全性 一般来说，防火墙、加密是信息安全最行之有效的方法。虚拟专用网（VPN）技术则综合了这两种方法的优点，可以在IP网和VoIP网关之间加上网关型VPN或在IP网和移动主机间加上主机型VPN来增强VoIP的安全性。 VPN是利用开放性网络作为信息传输的媒体，通过加密、认证、封装，以及密钥交换技术在公网上开辟一条隧道，保证合法用户之间的安全通信。利用VPN的安全机制来保证VoIP的安全，不但可为用户提供安全的语音服务，而且可充分利用企业现有的网络设施，降低企业的营运成本。 VPN的安全机制是通过隧道技术来实现的。利用隧道技术，将待传输的原始信