久久久精品成人免费看,精品久久久久久综合日本

首頁>>>技術>>>VoIP

讓基于SIP協(xié)議VoIP網絡更加安全

2008/05/09

　　我們曾經討論過如何保護一個VoIP網絡免受黑客攻擊和偵聽——這需要一個多層安全策略。而這么一個策略的重要部件，則是對提供呼叫信號的協(xié)議進行保護。

　　SIP協(xié)議已經作為一個非常流行的呼叫信號協(xié)議而日益得到普及，選擇它的理由也很多，比如相對于傳統(tǒng)的H.323協(xié)議，它更具簡單性，以及設計上的輕巧性。因此，對一家選擇了基于SIP協(xié)議部署VoIP的公司來說，好好考慮一下，應當如何以一種安全的方式來實施SIP就顯得非常重要了。不過，SIP協(xié)議的開發(fā)者們當初在設計時并沒有考慮到安全方面的問題，所以如果直接將SIP設備加入你的IP網絡，往往會帶來額外的安全問題。下面就讓我們看一下，如何做才能讓SIP通信更加安全。

　　了解風險

　　由于某些安全機制的原因，SIP的呼叫信號信息及通話非常容易被人竊聽和偵聽（也就是說，數據被劫持），或者很容易受到中間人攻擊，呼叫篡改攻擊，語音重播攻擊，以及拒絕服務等攻擊。

　　下面是這些攻擊所能造成的安全風險：

攻擊者可能獲取對VoIP的訪問權限，并使用該權限隨意撥打電話。

攻擊者可能聽取VoIP網絡上的私人談話內容，并從中獲取可用于身份詐騙或達到其他不法目的相關信息。

攻擊者可能模仿某人的聲音，并假造其語音留言以欺騙他人。

攻擊者可能會導致IP電話或整個VoIP網絡陷入癱瘓狀態(tài)。

　　幸運的是，我們還有些安全機制可用于保護SIP網絡免受上述這些風險的威脅。

　　使用TLS保護SIP網絡

　　一般情況下，SIP數據包通過TCP或UDP連接，以純文本的方式進行傳輸，所以非常容易受到黑客的偽造和攻擊。為此，RFC 3261定義了SIPS（安全SIP，Secure SIP），一種使用TLS （傳輸層安全，Transport Layer Security）的安全傳輸方法，而TLS則是SSL（安全端口層，Secure Sockets Layer）的新式改進版本。

　　Netscape最初開發(fā)SSL是用于基于網頁的安全傳輸。TLS提供了一個加密信道，以便你用于傳輸SIP信息。不過，要想使用SIPS，你的VoIP設備必須首先支持該協(xié)議才可以。

　　SIPS要求來自SIP用戶以及代理的認證信息，該認證使用MD5校驗機制。該RFC標準同時還定義了一個SIP統(tǒng)一資源標識符URI（Uniform Resource Identifier），可用于從一個端點到另一個端點提供安全連接。

　　根據公鑰加密技術，TLS依賴于數字證書進行加密。這里是它的工作模式：

SIP客戶端連上SIP代理。

SIP客戶端向代理請求一個TLS會話。

代理返回一個有效的公共證書。

客戶端驗證該證書。

客戶端和代理交換會話密鑰

以后會話中的所有數據均使用該會話密鑰進行加密和解密。

　　SIPS需要端到端（也就是說，電話到電話）的TLS保護。而在對話機基礎上使用TLS也是可以的。另外，你也可以配置那些可使用SIPS的設備僅接收TLS加密過的呼叫。

　　你的防火墻支持SIP軟件么？

　　對一個連到互聯網（或其他任何不能讓人放心的網絡）上的企業(yè)來說，防火墻是安全策略中絕對必要的部分。不過，像其他VoIP協(xié)議一樣，SIP也常會在穿越防火墻或NAT（網絡地址解析，Network Address Translation的簡稱）設備時發(fā)生問題。

　　企業(yè)常常會配置防火墻僅接收那些由內部計算機所發(fā)起的外部通信連接。問題是，SIP使用兩個不同的連接——每個連接都使用各自的端口——來建立VoIP電話呼叫。一個連接傳輸呼叫信號信息，另一個則傳輸實際的語音通訊（也就是說，媒體信息）。

　　如果你是朝本地局域網外部撥打一個電話，那么發(fā)送出去的初始信息就承載了呼叫信號。對你所呼叫的IP電話機而言，這就是一個“邀請”信息。

　　當你要呼叫的人應答電話時，他的電話機會返回一個確認信號。該信號會通過控制呼叫信號的端口傳回來。由于是通話是由你發(fā)起的，所以這個信號可以正常穿越防火墻而返回。但是，你的防火墻卻很可能攔截同時進入的語音數據，因為它來自一個完全不同的端口，這樣防火墻就正好攔截了打入的電話。

　　有一種叫做“會話控制器”的設備，可以解決SIP穿越防火墻和NAT設備時所遇到的問題。這是一個在公共網絡上的設備，直接為你的VoIP客戶端提供一個公共IP地址，并在一臺公共服務器上注冊。

　　不過，要保護你的VoIP網絡，你還需要一個支持SIP的防火墻。因為對普通的防火墻來說，SIP的數據太難以檢查了。SIP網絡使用一個實時傳輸協(xié)議（RTP），以及一個“實時傳輸控制協(xié)議（RTCP）”，來從一臺IP電話向另一臺IP電話傳輸具體的媒體信息（會話語音數據）。

　　因此，一臺支持SIP協(xié)議的防火墻需要能發(fā)現SIP在建立會話媒體數據流時所動態(tài)賦予的RTP/RTCP端口信息。這意味著該防火墻必須解析SIP的交換過程，以發(fā)現哪個數據包中含有媒體數據。而端口信息可以在許多不同的SIP數據包中出現。一臺支持SIP的防火墻必須能夠了解SIP的交換過程，并從中獲得相應的信息。

總結

　　對主要的VoIP協(xié)議來說，當初在設計它們時，安全方面并不是設計主要考慮的一個問題，SIP協(xié)議也不例外。這一點和早期的電腦操作系統(tǒng)非常類似——以至于后來部署這些操作系統(tǒng)時人們不得不再為它們添加必要的安全機制，因為它們根本沒有提供任何安全方面的內容。

　　因此，企業(yè)部署VoIP時，也必須采取措施來對VoIP協(xié)議進行保護。而讓SIP網絡可以變得更加安全的方法，除了可以使用配備TLS的SIPS（安全SIP）來對VoIP傳輸信道進行加密以外，還可以使用會話控制工具，以及使用支持SIP軟件的防火墻。

ZDnet (www.zdnet.com.cn)

相關鏈接:

VoWLAN語音終端開發(fā)設計 2008-05-08

VOIP技術標準的走勢與難點分析 2008-05-06

SIP獲得成功的兩大因素 2008-05-06

SBC在企業(yè)IP通信系統(tǒng)中的應用 2008-05-04

基于SIP的VoIP系統(tǒng) 2008-04-25

分類信息:

亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩封开县| 道真| 安平县| 股票| 绥宁县| 彰化市| 盐池县| 霍州市| 南宫市| 丰台区| 龙山县| 灵丘县| 阳西县| 武邑县| 开封市| 图们市| 汉川市| 方山县| 宁晋县| 北碚区| 韶关市| 宾阳县| 巩留县| 贞丰县| 肇庆市| 新宾| 广安市| 安阳县| 永平县| 石台县| 太谷县| 湟中县| 台湾省| 策勒县| 洛川县| 海淀区| 九龙坡区| 登封市| 建宁县| 海林市| 田林县| http://444 http://444 http://444 http://444 http://444 http://444