IP電話安全戰(zhàn)
陳蔚 2004/07/27
用戶在從傳統(tǒng)語音向IP電話系統(tǒng)遷移過程中,應(yīng)該注意到融合網(wǎng)絡(luò)平臺存在著的安全性問題�,在進行產(chǎn)品選型、系統(tǒng)設(shè)計時均充分考慮到IP網(wǎng)絡(luò)平臺的安全威脅�,并對此進行全面的優(yōu)化設(shè)計。下面將對IP電話安全架構(gòu)的具體實現(xiàn)進行詳細的說明�����。
圖1 IP電話安全架構(gòu)示意圖
IP語音服務(wù)器采用強化的操作系統(tǒng)
IP電話的語音服務(wù)器是整個系統(tǒng)運作的核心���,而操作系統(tǒng)又是語音服務(wù)器的基礎(chǔ)平臺��,因此采用一個經(jīng)過安全強化設(shè)計的操作系統(tǒng)��,將盡可能減少網(wǎng)絡(luò)上病毒和黑客對IP語音運行的影響����,比如盡可能采用網(wǎng)絡(luò)病毒和黑客對其攻擊相對較少的操作系統(tǒng);僅僅運行必要的服務(wù)和應(yīng)用��;具有一定的入侵檢測功能�����,可以很好的監(jiān)控系統(tǒng)和配置的變化�,并會產(chǎn)生相應(yīng)的告警����;通過內(nèi)嵌級防火墻提供對運行在服務(wù)器上相應(yīng)服務(wù)增強的安全性接入。
安全的管理配置
IP電話系統(tǒng)的各個組成部分通過以下方式進行安全的管理:
- 通過安全的Telnet (SSH),���、FTP (SFTP)�����、文件拷貝(SCP)進行遠程管理�����;
- 通過SSL/TLS-HTTPS進行遠程Web管理;
- 采用更安全的SNMP v3進行網(wǎng)絡(luò)管理�����;
- 盡可能不采用缺省的SNMP通信字符串��;
- 避免采用明文的方式交換密碼�����;
- 保證不存在后門密碼可以進入系統(tǒng)����;
- 盡可能少的用超級用戶、密碼�����;
語音服務(wù)器和語音網(wǎng)關(guān)之間控制信令加密
通過將IP電話語音服務(wù)器和語音網(wǎng)關(guān)之間的控制信令傳輸網(wǎng)絡(luò)和普通數(shù)據(jù)網(wǎng)絡(luò)在物理或邏輯上進行隔離�����,將盡可能少的接口暴露在相對不安全的開放網(wǎng)絡(luò)平臺上�,從而減少網(wǎng)絡(luò)中越來越多的DoS攻擊和網(wǎng)絡(luò)病毒對系統(tǒng)的影響�����。
而如果控制語音服務(wù)器和語音網(wǎng)關(guān)的控制信令與普通的數(shù)據(jù)應(yīng)用運行在一個開放平臺上���,應(yīng)該通過相應(yīng)的加密認證機制,對控制信令傳輸?shù)乃矫苄�����、?shù)據(jù)完整性等進行保護�。
DoS攻擊保護
IP電話的各個組成部分從語音服務(wù)器、語音網(wǎng)關(guān)到IP電話都能夠?qū)oS攻擊具有相應(yīng)的保護功能:
- 丟棄非正常的�����、惡意攻擊的數(shù)據(jù)包/幀�;
- 在受到Ping Flood�����、SYN Flood等DoS攻擊時具有相應(yīng)的自我保護能力����,仍然可以正常工作�。
通過VLAN實現(xiàn)IP語音和普通數(shù)據(jù)邏輯隔離
目前各個廠商的系列IP話機均提供2個以太網(wǎng)端口��,一個連接網(wǎng)絡(luò)交換機�����,一個可以連接用戶PC�,與網(wǎng)絡(luò)交換機連接端口支持802.1Q/p,可以實現(xiàn)IP語音和用戶PC劃歸不同的VLAN����,而且IP語音包會帶上第二層和第三層的優(yōu)先級標(biāo)記,可以和客戶具有QoS支持的數(shù)據(jù)網(wǎng)絡(luò)平臺結(jié)合����,提高IP話音質(zhì)量。
圖2 用VLAN保護語音安全
RTP媒體流加密
IP電話系統(tǒng)的語音服務(wù)器����、語音網(wǎng)關(guān)以及IP終端通過支持對RTP語音媒體流進行加密傳輸實現(xiàn)IP語音交換的私密性保護。語音服務(wù)器�����、語音網(wǎng)關(guān)以及IP終端在IP語音呼叫信令建立過程中����,會對媒體加密進行協(xié)商���,如果決定對一個呼叫進行加密,它們之間會交換加密的相關(guān)關(guān)鍵參數(shù)���,比如使用什么加密算法��,使用什么加密密鑰����。
RTP媒體流加密在以下設(shè)備之間實施:
- IP話機-語音網(wǎng)關(guān)
- IP話機-IP話機
- 語音網(wǎng)關(guān)-語音網(wǎng)關(guān)
目前一些對安全比較重視的IP語音設(shè)備廠商已經(jīng)部分和全部實現(xiàn)上述功能��。
呼叫控制軟件的安全功能
運行在語音服務(wù)器內(nèi)的呼叫控制軟件�����,應(yīng)當(dāng)具有豐富的控制和限制功能��。例如通過服務(wù)等級����、限制等級的設(shè)定���,可以將不同的功能和呼叫權(quán)限分配給不同等級的用戶���,而且用戶在撥打長途或特定號碼前必須輸入正確的密碼�����,才能獲得相關(guān)服務(wù)�。而在IP電話系統(tǒng)中通過以下技術(shù)手段加強接入的安全性:
- 集中式的用戶認證機制�;
- 采用一次性口令加強用戶接入密碼的保護;
- IP電話系統(tǒng)可以通過工業(yè)標(biāo)準(zhǔn)的RADIUS��、數(shù)字證書實現(xiàn)對用戶����、設(shè)備的認證和授權(quán)。
網(wǎng)絡(luò)世界(cnw.ccw.com.cn)
绵阳市|
鹤壁市|
万宁市|
镇坪县|
五寨县|
武隆县|
南安市|
绩溪县|
乌兰县|
建始县|
涿鹿县|
天柱县|
舟山市|
桦南县|
屯昌县|
洛隆县|
广丰县|
锦屏县|
额敏县|
同德县|
张家口市|
红安县|
平泉县|
额济纳旗|
定南县|
盐城市|
万荣县|
宜宾市|
甘洛县|
定边县|
梓潼县|
绩溪县|
治多县|
于都县|
邻水|
和政县|
瓦房店市|
渝中区|
铁岭县|
九江县|
赤水市|