VoIP安全问题解析
生活随笔
收集整理的這篇文章主要介紹了
VoIP安全问题解析
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
VoIP應(yīng)用及其安全問題的現(xiàn)狀 VoIP是Voice Over Internet Protocol的縮寫,意即基于IP的語音通信,我們通常稱其為網(wǎng)絡(luò)電話技術(shù)。VoIP技術(shù)使我們可以基于類似Internet這樣的數(shù)據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)電話業(yè)務(wù)。這種實(shí)現(xiàn)模式提供更多的集成功能、更高的通信帶寬、更穩(wěn)定的通信質(zhì)量以及更靈活的管理能力,并能夠顯著降低成本。最為重要的是,由于VoIP為市場(chǎng)提供了傳統(tǒng)通信服務(wù)商之外的選擇,所以其對(duì)整個(gè)行業(yè)格局的深遠(yuǎn)影響恐怕才是近年來VoIP成為網(wǎng)絡(luò)應(yīng)用領(lǐng)域熱門話題的最核心原因。VoIP的前景固然是極為美好的,但是想真正實(shí)現(xiàn)其目標(biāo)所無法回避的一個(gè)問題就是安全。在當(dāng)下VoIP應(yīng)用規(guī)模相對(duì)較小的時(shí)期,安全方面的問題還沒有暴露的特別明顯。但是當(dāng)業(yè)務(wù)量達(dá)到與傳統(tǒng)電話一較短長(zhǎng)的時(shí)候,安全方面的負(fù)擔(dān)就可能稱為VoIP技術(shù)的致命傷,這也是VoIP能否替代傳統(tǒng)電話服務(wù)的重中之重。針對(duì)這種情況,AVAYA、賽門鐵克、西門子等業(yè)界重量級(jí)的業(yè)界廠商還于近日專門成立了VoIP安全聯(lián)盟,以期為VoIP創(chuàng)造一個(gè)更加堅(jiān)實(shí)的發(fā)展基礎(chǔ)。 VoIP技術(shù)概觀
????
??? VoIP的基本技術(shù)原理是利用專門的算法對(duì)語音數(shù)據(jù)進(jìn)行壓縮和編碼處理,然后將這些語音數(shù)據(jù)通過IP網(wǎng)絡(luò)傳輸?shù)浇邮斩?#xff0c;而接收端利用同樣的技術(shù)對(duì)語音數(shù)據(jù)進(jìn)行解包還原處理,從而正確的恢復(fù)出語音信號(hào)。 VoIP在服務(wù)端的核心設(shè)備是VoIP網(wǎng)關(guān),VoIP網(wǎng)關(guān)主要應(yīng)用于企業(yè)內(nèi)部分支機(jī)構(gòu)之間的IP電話通信,而且該設(shè)備可以與企業(yè)已有的電話交換機(jī)(PBX)及集團(tuán)電話設(shè)備良好的集成,有效節(jié)省企業(yè)的長(zhǎng)話費(fèi)用。另一種主要的服務(wù)端設(shè)備是VoIP網(wǎng)守,這種設(shè)備的主要功能是對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行管理。目前的VoIP網(wǎng)守主要負(fù)責(zé)實(shí)現(xiàn)用戶認(rèn)證、地址解析、帶寬管理、路由管理、安全管理以及日志管理等功能。在客戶終端主要使用IP電話交換機(jī)(IP PBX)這樣的VoIP電話終端設(shè)備。IP PBX用于實(shí)現(xiàn)端到端的IP語音通信,同時(shí)其內(nèi)置的CTI(計(jì)算機(jī)語音通信集成)功能能夠?qū)崿F(xiàn)計(jì)算機(jī)應(yīng)用系統(tǒng)與電話系統(tǒng)交互,從而使得數(shù)據(jù)信號(hào)與語音信號(hào)可以同時(shí)傳輸。 VoIP目前使用的信令協(xié)議主要是ITU-T的H.323協(xié)議以及IETF的SIP協(xié)議,而傳輸協(xié)議主要使用RTP。另外,由于用于數(shù)據(jù)傳輸?shù)腎P網(wǎng)絡(luò)通常是采用無服務(wù)質(zhì)量保證的傳輸模式,容易造成數(shù)據(jù)分組丟失和延時(shí)等問題,而語音通信要求很高的實(shí)時(shí)性,所以VoIP通常還需要應(yīng)用QoS技術(shù)來保障語音通信的正常進(jìn)行。 VoIP的安全問題及解決方法 VoIP首先要面對(duì)的安全問題來自其自身的軟硬件設(shè)施。因?yàn)槟壳按蟛糠諺oIP設(shè)備基于標(biāo)準(zhǔn)操作系統(tǒng),傳輸協(xié)議也屬于開放技術(shù),所以有相當(dāng)高的可能受到***者的襲擊。而且在大部分情況下VoIP設(shè)施需要提供遠(yuǎn)程管理能力,其所依賴的服務(wù)和軟件也同樣可能存在安全漏洞。VoIP的實(shí)現(xiàn)依賴于TCP/IP協(xié)議棧的運(yùn)行,所以TCP/IP協(xié)議面臨的所有安全問題我們都無法回避。包括蠕蟲病毒、***程序、DdoS***這些讓人頭痛的問題也注定要對(duì)VoIP應(yīng)用環(huán)境造成困擾。這些方面的問題除了依賴廠商不斷對(duì)設(shè)備進(jìn)行安全強(qiáng)化之外,還需要管理員將VoIP設(shè)施與其它計(jì)算機(jī)設(shè)施等同視之,注意跟蹤相關(guān)的安全漏洞信息發(fā)布,及時(shí)為VoIP設(shè)備打好補(bǔ)丁,并為VoIP環(huán)境提供防火墻等安全防御設(shè)施的保護(hù)。對(duì)于VoIP設(shè)備,應(yīng)該比普通的計(jì)算機(jī)設(shè)備更加注重常見信息安全原則的實(shí)現(xiàn),例如只提供必要的服務(wù),關(guān)閉和屏蔽無用的端口等等。忽視這些原則將造成非常嚴(yán)重的安全危害。 另外,還要求管理員能夠不斷根據(jù)應(yīng)用環(huán)境的變化調(diào)整和優(yōu)化整個(gè)VoIP設(shè)施的配置,因?yàn)楦鶕?jù)我們的經(jīng)驗(yàn),即使一個(gè)系統(tǒng)在某一時(shí)點(diǎn)具有足夠強(qiáng)健的配置,但是隨著時(shí)間的推移,還是會(huì)有很多不易察覺的安全隱患滋生出來。特別是在VoIP設(shè)施的管理無法完全融入已有計(jì)算機(jī)設(shè)施管理的情況下,兩者任意一方的變更都會(huì)對(duì)另外一方造成潛在的安全威脅。我們建議不要將VoIP和企業(yè)的其它網(wǎng)絡(luò)應(yīng)用部署在同樣的網(wǎng)段,必要的時(shí)候可以考慮使用VLAN分隔出不同的網(wǎng)絡(luò)區(qū)域供不同的應(yīng)用使用,這樣既可以實(shí)現(xiàn)管理上的靈活,又可以提高線路的傳輸質(zhì)量。如果VoIP服務(wù)要基于互聯(lián)網(wǎng)進(jìn)行實(shí)施,應(yīng)該盡可能的將其建構(gòu)在***通訊之上,因?yàn)閷?huì)話毫無遮掩的暴露在互聯(lián)網(wǎng)上將面臨巨大的安全風(fēng)險(xiǎn)。雖然***信息同樣有被盜用和劫持的可能,但至少可以提供相當(dāng)強(qiáng)度的保護(hù),更何況現(xiàn)在***的實(shí)施成本和管理負(fù)荷已經(jīng)下降到相當(dāng)?shù)偷某潭取?除此之外,我們還要面對(duì)傳統(tǒng)電話網(wǎng)絡(luò)需要面對(duì)的一些問題。類似電話盜打和監(jiān)聽這樣的問題在VoIP的世界里同樣存在。盡管對(duì)基于IP技術(shù)的通信系統(tǒng)進(jìn)行搭線要困難的多,但是網(wǎng)絡(luò)電話系統(tǒng)的登錄認(rèn)證信息還是有可能被***者獲取。惡意***者很容易使用諸如數(shù)據(jù)包嗅探之類手段監(jiān)聽VoIP設(shè)備的通信,并且諸如IP欺騙、會(huì)話劫持之類的***手段也會(huì)對(duì)我們的通信造成威脅。為了解決這些問題,一個(gè)最基本的方法就是對(duì)數(shù)據(jù)傳輸進(jìn)行加密。其實(shí)這是任何***者都會(huì)感覺頭痛的一種安全措施。一旦信令、話音等各種數(shù)據(jù)實(shí)施了良好的加密之后,即使***者成功突破種種限制獲取了這些數(shù)據(jù),他們也無法獲得任何對(duì)他們有用的東西。另一個(gè)具有很高實(shí)效的安全措施是進(jìn)行地址認(rèn)證,我們應(yīng)該對(duì)訪問VoIP服務(wù)的客戶端地址以及登錄VoIP設(shè)備進(jìn)行管理配置的遠(yuǎn)程終端地址進(jìn)行綁定,阻止來自不合法IP地址的訪問。雖然在某些情況下客戶端無法獲取固定的IP地址,使得這種策略無法實(shí)施,但是即使能夠按照網(wǎng)段進(jìn)行管理,也會(huì)阻止大量的麻煩,所以這種措施值得我們給予充分的重視。 未來的努力 在使用傳統(tǒng)電話網(wǎng)的時(shí)候,我們通常無需為安全問題操心。而相比之下,VoIP網(wǎng)絡(luò)需要在安全方面付出的考量甚至超過了類似局域網(wǎng)合廣域網(wǎng)這樣的數(shù)據(jù)網(wǎng)絡(luò)。因?yàn)槲覀冊(cè)诿鎸?duì)TCP/IP網(wǎng)絡(luò)所固有的安全問題的同時(shí),還要面對(duì)傳統(tǒng)電話網(wǎng)絡(luò)所遺留的問題。好在從前我們?cè)谟?jì)算機(jī)設(shè)施方面所獲得的所有安全知識(shí)和經(jīng)驗(yàn),都可以對(duì)VoIP設(shè)施的安全產(chǎn)生有效的促進(jìn)。只要企業(yè)的相關(guān)管理人員持有正確的觀念,認(rèn)真的看待VoIP技術(shù)所面臨的安全威脅,并做出確實(shí)的努力,VoIP的安全問題是有可能獲得完滿解決的。 與50位技術(shù)專家面對(duì)面20年技術(shù)見證,附贈(zèng)技術(shù)全景圖
????
??? VoIP的基本技術(shù)原理是利用專門的算法對(duì)語音數(shù)據(jù)進(jìn)行壓縮和編碼處理,然后將這些語音數(shù)據(jù)通過IP網(wǎng)絡(luò)傳輸?shù)浇邮斩?#xff0c;而接收端利用同樣的技術(shù)對(duì)語音數(shù)據(jù)進(jìn)行解包還原處理,從而正確的恢復(fù)出語音信號(hào)。 VoIP在服務(wù)端的核心設(shè)備是VoIP網(wǎng)關(guān),VoIP網(wǎng)關(guān)主要應(yīng)用于企業(yè)內(nèi)部分支機(jī)構(gòu)之間的IP電話通信,而且該設(shè)備可以與企業(yè)已有的電話交換機(jī)(PBX)及集團(tuán)電話設(shè)備良好的集成,有效節(jié)省企業(yè)的長(zhǎng)話費(fèi)用。另一種主要的服務(wù)端設(shè)備是VoIP網(wǎng)守,這種設(shè)備的主要功能是對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行管理。目前的VoIP網(wǎng)守主要負(fù)責(zé)實(shí)現(xiàn)用戶認(rèn)證、地址解析、帶寬管理、路由管理、安全管理以及日志管理等功能。在客戶終端主要使用IP電話交換機(jī)(IP PBX)這樣的VoIP電話終端設(shè)備。IP PBX用于實(shí)現(xiàn)端到端的IP語音通信,同時(shí)其內(nèi)置的CTI(計(jì)算機(jī)語音通信集成)功能能夠?qū)崿F(xiàn)計(jì)算機(jī)應(yīng)用系統(tǒng)與電話系統(tǒng)交互,從而使得數(shù)據(jù)信號(hào)與語音信號(hào)可以同時(shí)傳輸。 VoIP目前使用的信令協(xié)議主要是ITU-T的H.323協(xié)議以及IETF的SIP協(xié)議,而傳輸協(xié)議主要使用RTP。另外,由于用于數(shù)據(jù)傳輸?shù)腎P網(wǎng)絡(luò)通常是采用無服務(wù)質(zhì)量保證的傳輸模式,容易造成數(shù)據(jù)分組丟失和延時(shí)等問題,而語音通信要求很高的實(shí)時(shí)性,所以VoIP通常還需要應(yīng)用QoS技術(shù)來保障語音通信的正常進(jìn)行。 VoIP的安全問題及解決方法 VoIP首先要面對(duì)的安全問題來自其自身的軟硬件設(shè)施。因?yàn)槟壳按蟛糠諺oIP設(shè)備基于標(biāo)準(zhǔn)操作系統(tǒng),傳輸協(xié)議也屬于開放技術(shù),所以有相當(dāng)高的可能受到***者的襲擊。而且在大部分情況下VoIP設(shè)施需要提供遠(yuǎn)程管理能力,其所依賴的服務(wù)和軟件也同樣可能存在安全漏洞。VoIP的實(shí)現(xiàn)依賴于TCP/IP協(xié)議棧的運(yùn)行,所以TCP/IP協(xié)議面臨的所有安全問題我們都無法回避。包括蠕蟲病毒、***程序、DdoS***這些讓人頭痛的問題也注定要對(duì)VoIP應(yīng)用環(huán)境造成困擾。這些方面的問題除了依賴廠商不斷對(duì)設(shè)備進(jìn)行安全強(qiáng)化之外,還需要管理員將VoIP設(shè)施與其它計(jì)算機(jī)設(shè)施等同視之,注意跟蹤相關(guān)的安全漏洞信息發(fā)布,及時(shí)為VoIP設(shè)備打好補(bǔ)丁,并為VoIP環(huán)境提供防火墻等安全防御設(shè)施的保護(hù)。對(duì)于VoIP設(shè)備,應(yīng)該比普通的計(jì)算機(jī)設(shè)備更加注重常見信息安全原則的實(shí)現(xiàn),例如只提供必要的服務(wù),關(guān)閉和屏蔽無用的端口等等。忽視這些原則將造成非常嚴(yán)重的安全危害。 另外,還要求管理員能夠不斷根據(jù)應(yīng)用環(huán)境的變化調(diào)整和優(yōu)化整個(gè)VoIP設(shè)施的配置,因?yàn)楦鶕?jù)我們的經(jīng)驗(yàn),即使一個(gè)系統(tǒng)在某一時(shí)點(diǎn)具有足夠強(qiáng)健的配置,但是隨著時(shí)間的推移,還是會(huì)有很多不易察覺的安全隱患滋生出來。特別是在VoIP設(shè)施的管理無法完全融入已有計(jì)算機(jī)設(shè)施管理的情況下,兩者任意一方的變更都會(huì)對(duì)另外一方造成潛在的安全威脅。我們建議不要將VoIP和企業(yè)的其它網(wǎng)絡(luò)應(yīng)用部署在同樣的網(wǎng)段,必要的時(shí)候可以考慮使用VLAN分隔出不同的網(wǎng)絡(luò)區(qū)域供不同的應(yīng)用使用,這樣既可以實(shí)現(xiàn)管理上的靈活,又可以提高線路的傳輸質(zhì)量。如果VoIP服務(wù)要基于互聯(lián)網(wǎng)進(jìn)行實(shí)施,應(yīng)該盡可能的將其建構(gòu)在***通訊之上,因?yàn)閷?huì)話毫無遮掩的暴露在互聯(lián)網(wǎng)上將面臨巨大的安全風(fēng)險(xiǎn)。雖然***信息同樣有被盜用和劫持的可能,但至少可以提供相當(dāng)強(qiáng)度的保護(hù),更何況現(xiàn)在***的實(shí)施成本和管理負(fù)荷已經(jīng)下降到相當(dāng)?shù)偷某潭取?除此之外,我們還要面對(duì)傳統(tǒng)電話網(wǎng)絡(luò)需要面對(duì)的一些問題。類似電話盜打和監(jiān)聽這樣的問題在VoIP的世界里同樣存在。盡管對(duì)基于IP技術(shù)的通信系統(tǒng)進(jìn)行搭線要困難的多,但是網(wǎng)絡(luò)電話系統(tǒng)的登錄認(rèn)證信息還是有可能被***者獲取。惡意***者很容易使用諸如數(shù)據(jù)包嗅探之類手段監(jiān)聽VoIP設(shè)備的通信,并且諸如IP欺騙、會(huì)話劫持之類的***手段也會(huì)對(duì)我們的通信造成威脅。為了解決這些問題,一個(gè)最基本的方法就是對(duì)數(shù)據(jù)傳輸進(jìn)行加密。其實(shí)這是任何***者都會(huì)感覺頭痛的一種安全措施。一旦信令、話音等各種數(shù)據(jù)實(shí)施了良好的加密之后,即使***者成功突破種種限制獲取了這些數(shù)據(jù),他們也無法獲得任何對(duì)他們有用的東西。另一個(gè)具有很高實(shí)效的安全措施是進(jìn)行地址認(rèn)證,我們應(yīng)該對(duì)訪問VoIP服務(wù)的客戶端地址以及登錄VoIP設(shè)備進(jìn)行管理配置的遠(yuǎn)程終端地址進(jìn)行綁定,阻止來自不合法IP地址的訪問。雖然在某些情況下客戶端無法獲取固定的IP地址,使得這種策略無法實(shí)施,但是即使能夠按照網(wǎng)段進(jìn)行管理,也會(huì)阻止大量的麻煩,所以這種措施值得我們給予充分的重視。 未來的努力 在使用傳統(tǒng)電話網(wǎng)的時(shí)候,我們通常無需為安全問題操心。而相比之下,VoIP網(wǎng)絡(luò)需要在安全方面付出的考量甚至超過了類似局域網(wǎng)合廣域網(wǎng)這樣的數(shù)據(jù)網(wǎng)絡(luò)。因?yàn)槲覀冊(cè)诿鎸?duì)TCP/IP網(wǎng)絡(luò)所固有的安全問題的同時(shí),還要面對(duì)傳統(tǒng)電話網(wǎng)絡(luò)所遺留的問題。好在從前我們?cè)谟?jì)算機(jī)設(shè)施方面所獲得的所有安全知識(shí)和經(jīng)驗(yàn),都可以對(duì)VoIP設(shè)施的安全產(chǎn)生有效的促進(jìn)。只要企業(yè)的相關(guān)管理人員持有正確的觀念,認(rèn)真的看待VoIP技術(shù)所面臨的安全威脅,并做出確實(shí)的努力,VoIP的安全問題是有可能獲得完滿解決的。 與50位技術(shù)專家面對(duì)面20年技術(shù)見證,附贈(zèng)技術(shù)全景圖
總結(jié)
以上是生活随笔為你收集整理的VoIP安全问题解析的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 转《浅谈数据库设计技巧》
- 下一篇: [原创]关于打开新窗口和关闭老窗口的2个