第二页
要达到限制对介质访问或对VoIP服务器和端点访问的目的,你得先将所有呼叫服务器都存放在一个上锁的房间中,以对所有和服务器有关的接触进行控制;而后限制对终端的接触(包括硬电话机,安装在电脑中的“软电话机”程序),并将线缆埋设在墙体中的管道里以保证它们自身的安全;最后你还要谨慎选择无线AP的位置,限制无线交流,限制信号强度,使用屏蔽材料将无线信号尽量阻挡在建筑物之内。
用IPSec加密网络层
你可以使用IPSec加密来保护网络中的VoIP数据;如果攻击者穿越了你的物理层防护措施,并截获了VoIP数据包,他们也无法破译其中的内容。IPSec使用认证头以及压缩安全有效载荷来为IP传输提供认证性、完整性以及机密性。
VoIP上的IPSec使用隧道模式,对两头终端的身份进行保护。IPSec可以让VoIP通讯比使用传统的电话线更安全。
用TLS锁定会话层
你还可以使用TLS来保护VoIP会话,TLS使用的是数字签名和公共密钥加密,这意味着每一个端点都必须有一个可信任的、由权威CA认证的签名。或者你也可以通过一个内部CA(比如一台运行了认证服务的Windows服务器)来进行企业内部的通话,并经由一个公共CA来进行公司之外的通话。
用SRTP保护应用层
你可以使用“安全RTP(SRTP)”来对应用层的介质进行加密。RFC 3711定义了SRTP,让它可以提供信息认证、机密性、回放保护、阻止对RTP数据流的拒绝服务式攻击等安全机制。通过SRTP,你可以对无线网和有线网上的VoIP通讯进行有效的保护。
总结
基于IP网络及其协议的公共性质,使得VoIP天生就具备相对于传统电话网而言更易受到攻击的特质。不过,通过采取一个仔细规划的、多层次的VoIP网络防护措施,企业就可以让VoIP网络的安全程度赶上甚至是超过传统的电话系统。
网友评论