VoIP简而言之就是将模拟声音讯号(Voice)数字化,以数据封包的形式在IP数据网络上做实时传递。VoIP最大的优势是能广泛地采用Internet和全球IP互连的环境,提供比传统业务更多、更好的服务。今天小编给大家分享的一篇教程,那就是:介绍打造企业安全VoIP的十种防护措施。
想必不需要小编多说,大家都应该知道一点,那就是基于IP网络及其协议的公共性质,让得VoIP天生就已经具备相对于传统电话网而言,更加容易受到攻击的特质。不过,通过采取一个仔细规划的、多层次的VoIP网络防护措施,企业就能够让VoIP网络在安全这一个程度上面赶上,甚至还可以超过传统的电话系统。在这里小编就为大家简单的介绍一下打造企业安全VoIP的十种防护措施,具体的防护措施如下所示:
第一种防护措施:监控并跟踪网络的通信模式
入侵探测系统以及监控工具可以帮助用户识别那一些侵入到VoIP网络的企图。大家只需要详细观察一下VoIP日志能够帮助发现一些不规则的东西,就比如说:莫名其妙的国际电话或者是本公司或组织基本不联系的国际电话,多重登录试图破解密码,语音暴增等等。
第二种防护措施:定期进行安全
在这里大家要确信一点,那就是仅仅只有经过鉴别的用户以及设备,才能够访问那一些经过限制的以太网端口。管理员常常被欺骗,接受那一些并没有经过允许的软终端电话的请求,主要就是因为黑客们能够直接通过插入RJ44端口,就非常轻易地模仿MAC地址以及IP地址。
第三种防护措施:网络层加密
大家能够直接使用IPSec加密来保护网络里面的VoIP数据;假如说攻击者穿越了大家的物理层防护措施,并且还截获了VoIP数据包,他们也没有办法破译在这其中的内容。IPSec使用认证头以及压缩安全有效载荷来为IP传输提供一个完整性、认证性和机密性。
在VoIP上面的IPSec使用隧道模式,对两头终端的身份进行保护操作。IPSec能够使得VoIP通讯比使用传统的电话线更加的安全一些。
第四种防护措施:配备专用防火墙
对于一个IP网络来说,边界保护一般情况下就是意味着使用防火墙,不过小编想说的是一个老旧的防火墙是并不适合VoIP网络的。在这个时候,大家就需要一个特别设计的防火墙,他可以直接分析以及识别VoIP协议,可以对于VoIP的数据包进行深度检查,另外一个方面还可以分析VoIP的有效载荷,方便大家发现全部和攻击有关的蛛丝马迹。
假如说大家的VoIP部署使用了SIP协议(英文全称:SessionInitiationProtocol),那么防火墙就应当可以执行下面的操作了。具体的操作如下所示:监视进出的SIP信息,方便大家发现应用程式层次上的攻击;支持TLS(也就是传输层安全);执行基于SIP的NAT及介质端口管理;除此之外,还可以检测非正常的呼叫模式;记录SIP信息的详情,尤其是一些没有经过授权的呼叫。
第五种防护措施:保护应用层
大家能够使用“安全RTP(也就是SRTP)”来对应用层的介质进行加密操作。RFC3711定义了SRTP,让它能够提供信机密性、息认证、回放保护、阻止对RTP数据流的拒绝服务式攻击等等的安全机制。仅仅只需要通过SRTP,大家就能够对有线网以及无线网上面的VoIP通讯进行有效的保护操作。
第六种防护措施:建立VoIP网络的冗余机制
在这里大家都需要注意一点,那就是需要时时刻刻准备着可能会遭到病毒、DoS攻击,因为它们有可能会导致网络系统瘫痪情况出现。构建能够设置多层节点、服务器、网关、电源以及呼叫路由器的网络系统,并与不只一个供应商互联。经常性的对于每一个网络系统进行考验,确保它的工作良好,当主服务网络瘫痪的时候,备用设施能够非常迅速的接管工作。
第七种防护措施:尽量减少软终端
VoIP软终端电话非常容易遭受到电脑黑客的攻击,就算是它位于公司防火墙之后,主要就是因为这一种东西是和普通的PC、VoIP软件以及一对耳机共同使用的。另外一个方面,软终端电话并没有把数据以及语音这两者分开。所以它是易非常容易遭受到蠕虫以及计算机病毒的攻击。
第八种防护措施:限制全部的VoIP数据仅仅只可以传输到一个VLAN上
Cisco建议对于数据以及语音分别划分VLAN,这样子的话有助于按照优先次序来处理数据以及语音。另外一个方面,划分VLAN也有助于防御费用欺诈、窃听、DoS攻击、劫持通信等等。VLAN的划分让得用户的计算机形成了一个非常有效的封闭的圈子,它并不允许任何其它一些计算机访问其设备,这样子的话也就避免了电脑的攻击,VoIP网络也就变得十分安全了,就算是遭受到攻击,也会把损失降到最低。
第九种防护措施:内外网隔离
把网络系统以及电话管理系统这两者置于国际互联网络直接访问之外是一个不错的选择,将语音服务与其它服务器置于相分离的域中,并限制对其访问。
第十种防护措施:会话层锁定
最后,大家还能够直接使用TLS来保护VoIP会话,TLS使用的是公共密钥加密以及数字签名,这就意味着每一个端点都一定要有一个可信任的、由权威CA认证的签名。或者大家也能够通过一个内部CA(就比如说:一台运行了认证服务的Windows服务器)来进行企业内部的通话,并经由一个公共CA来进行公司之外的通话。
小编结语:
今天的考试认证教程,小编就已经介绍完毕了,主要是介绍打造企业安全VoIP的十种防护措施,希望这对大家有所帮助。编程学习网会一直更新关于考试认证的文章,请继续关注我们的网站:编程学习网教育。谢谢!