人们经常把安全作为企业不使用VoIP的主要理由之一。网络管理员需要克服这种夸大的宣传,应用正确的安全措施最大限度地提高语音网络的可靠性并且成功地推出这种服务。
向VoIP转变要改变许多事情。在老式的TDM(时分复用)式的语音通讯中,PBX(交换机)是一种单独的封闭式的系统,电话直接连接到这些交换机。它的简单性也是它的安全性。当然,这种模式的问题是:很难共享应用;移动、增加和改变代价昂贵并且没有同数据网络结合在一起。VoIP系统看起来很像任何其它连接网络的应用程序。电话服务器、邮件服务器和其它应用程序在商品化硬件上运行,这些商品化硬件配置了与其进行通讯的IP端点。这些服务器和端点通过连接到交换机和路由器的以太网IP电话进行通讯。
由于一个VoIP系统与其它IP应用程序是相同的,因此对VoIP的威胁也是相同的,需要了解VoIP组件是如何受到影响的。
网络
任何有IP地址的端点都容易受到拒绝服务攻击等网络攻击。拒绝服务攻击时对网络实施进行潮水般的攻击,对电话质量有不利的影响。很多专业人员认为,拒绝服务攻击是对VoIP应用最大的威胁。拒绝服务攻击还能够使电话服务器过载,导致电话接通的延迟。
VoIP安全方面宣传最多的事情之一是熟悉VoIP的防火墙。由于目前大多数的VoIP应用都是内部应用并且没有穿透防火墙,一个更好的安全方法是关闭你的周围的防火墙上的VoIP端口。VoIP通讯很少离开企业网络,应该考虑使用一种熟悉VoIP的防火墙。
操作系统
IP交换机、媒体网关和其它相关的服务器是建立在标准化的操作系统之上的,如Windows或者Linux或者一种专有的操作系统。由于基于Windows或者Linux的操作系统的大规模应用,这些操作系统有更广泛的开发商的支持和应用程序整合的可能性。然而,这并不能使这些操作系统有更多的安全漏洞。至于说机构是应该使用基于Windows、Linux操作系统的产品还是使用基于其它操作系统的产品,对于企业来说没有一个正确的答案。这只是一种选择问题。如果使用一种基于标准的产品,应该采取适当的安全预防措施。
协议
SIP、H.323、MGCP和Megaco等VoIP协议容易受到电话攻击的威胁,如诈骗、假冒他人身份和窃听等攻击。错误地执行这些协议容易造成缓存溢出故障。黑客可以利用这种缓存溢出故障控制VoIP环境中的重要任务系统,如媒体网关和电话服务器。
IP交换机电话服务器、IP电话和PC上的软交换机
围绕服务器和端点实施的多数欺骗活动是资费欺骗、诈骗和配置攻击。虽然这些事情是很重要的,并且不需要考虑,但是,更基本的问题是病毒。一个VoIP端点或者被病毒感染的服务器能够把病毒传播到网络的其它部分,引起性能问题并且可能破坏数据。由于大多数VoIP应用都是内部应用,病毒很可能是从其它公司的计算机传过来的。机构应该采取最佳的做法保护公司所有的计算机。
除了上面提到的项目之外,网络管理员还可以做许多其它事情保护VoIP环境:
·采用VLAN(虚拟局域网)隔离语音和数据通讯。人们认识到的许多对VoIP的威胁都来自于黑客破坏这个电话的能力。使用VLAN能够解决大多数VoIP的担心。重要的是需要指出,VLAN只能与IP电话一起使用,不能与软电话一起使用。Windows不支持VLAN标签,因此,语音和数据通讯要使用同样的VLAN标识符。
·执行服务质量,优先传输语音VLAN中的通讯。这将防止恶意通讯潮水般攻击网络和降低电话质量。服务质量应该在局域网和广域网上实施。
最后,对于VoIP安全,不要采取那种言过其实的宣传的方法。太多的厂商和媒体创造了有关VoIP的不必要的FUD(恐惧、不确定性和怀疑)。没有一个网络管理员愿意部署VoIP电话并且让安全事件破坏电话质量。因此,这种恐惧、不确定性和怀疑的心理一直影响VoIP的应用。信息窃贼和未经许可的网络接入对于企业来说比窃听、IP电话垃圾信息或者未经批准的电话更令人担心。使用适当的安全措施和工具来保持你的网络的各个层都受到保护,防备从安全角度影响VoIP的大多数问题。
网友评论