2009-11-24 16:17:30 来源:我爱研发网
实际上,没有什么简单的解决方法可以有效确保VoIP的绝对安全,不过还是有些办法可以尽量减小风险、改进整体的安全策略。
安全问题对语音服务而言根本不是什么新鲜事。几十年来,传统电话系统就饱受话费欺诈之困扰。如今,一些企业出于对安全问题的担忧而对安装IP语音(VoIP)系统犹豫不决,而另一些企业却在没有解决安全问题的前提下贸然行事。大多数行业的分析师估计,今年企业新安装的语音电话至少有一半将会是VoIP手机,这意味着你可能很快就会面临语音安全问题,如果不正视这些问题,你的系统就会随时遭到攻击。
说到如何有效地确保VoIP安全,根本没有灵丹妙药,但必须把这方面的安全作为整体安全策略的一部分来考虑。因为如今VoIP应用已成为IP网络的一部分,如果IP网络已经落实了良好的安全措施,整个网络安全系数越高,那么攻击者进行窃听、发动拒绝服务(DoS)攻击或者闯入VoIP系统中的操作系统或者应用系统的难度就会越大。
一开始就让安全小组参与VoIP项目也非常重要。语音小组和数据小组也根本犯不着卷入地盘之争。毕竟,现在它们应当作为一个团队开展工作。
遵守一系列的严格规定
主要的VoIP安全策略很简单:首先,在你确保各种VoIP部件和因特网之间没有任何通信之前,不要把这些设备接入网络。其次,不要允许与因特网及VoIP系统进行联系的PC之间有任何通信。这是因为,PC特别容易受到攻击,可能会被用来闯入VoIP系统,或者对语音应用发动拒绝服务攻击。它们还会强行利用VoIP电话从事话费欺诈、暗中窃听或者冒充他人等勾当。
如果你无法遵守这项策略,就要确保每个人都知道其中的风险,并且落实了相应的对策以缓解风险。这就要求清楚地知道安全、系统架构以及有关的VoIP协议。
要实施安全策略,第一步就是把所有VoIP电话放在单独的虚拟局域网(VLAN)上,并且使用不可路由的RFC1918地址。大多数VoIP电话都有内置的交换机,支持802.1p/Q虚拟局域网标准。这样一来,就有可能在桌面系统和距离最近的布线室交换机之间建立虚拟局域网,而布线室交换机可以通过网络进行延伸。
如果语音用户的PC被接到电话的交换机上,你就可以自始至终地让语音和数据在不同的虚拟局域网上传输。记住一点:虚拟局域网无法彼此联系,除非彼此之间有路由,所以这是确保语音和数据分开的一个办法。你还可以使用访问控制列表(ACL)防止虚拟局域网之间进行通信,作为保护语音的另一道安全层。让语音和数据在不同的虚拟局域网上传输,还可以简化为VoIP流量配置服务质量(QoS)。随后只是为VoIP虚拟局域网赋予优先级的问题而已,如果你通过路由器传输,仍需要第三层服务质量。
相关文章