用多层次方法保VoIP安全

那些对介质有存取权限的入侵者们，可能是接上了一台交换机或集线器，也可能是直接转接电缆，或是对无线通信进行接听——通过使用一个“嗅探器”软件来捕获包含语音数据及信号等信息在内的所有的数据包。然后他们可以使用类似VOMIT这样易用的工具来对数据进行重新整合，从而实现对会话的窃听，他们甚至可以对通讯过程进行修改，并将之运用于语音重放攻击之中。 

　　要达到限制对介质访问或对VoIP服务器和端点访问的目的，你得先将所有呼叫服务器都存放在一个上锁的房间中，以对所有和服务器有关的接触进行控制；而后限制对终端的接触（包括硬电话机，安装在电脑中的“软电话机”程序），并将线缆埋设在墙体中的管道里以保证它们自身的安全；最后你还要谨慎选择无线AP的位置，限制无线交流，限制信号强度，使用屏蔽材料将无线信号尽量阻挡在建筑物之内。 原文位置
  原文位置
　　用IPSec加密网络层

　　你可以使用IPSec加密来保护网络中的VoIP数据；如果攻击者穿越了你的物理层防护措施，并截获了VoIP数据包，他们也无法破译其中的内容。IPSec使用认证头以及压缩安全有效载荷来为IP传输提供认证性、完整性以及机密性。 

　　VoIP上的IPSec使用隧道模式，对两头终端的身份进行保护。IPSec可以让VoIP通讯比使用传统的电话线更安全。

　　用TLS锁定会话层

　　你还可以使用TLS来保护VoIP会话，TLS使用的是数字签名和公共密钥加密，这意味着每一个端点都必须有一个可信任的、由权威CA认证的签名。或者你也可以通过一个内部CA（比如一台运行了认证服务的Windows服务器）来进行企业内部的通话，并经由一个公共CA来进行公司之外的通话。

　　用SRTP保护应用层

　　你可以使用“安全RTP（SRTP）”来对应用层的介质进行加密。RFC 3711定义了SRTP，让它可以提供信息认证、机密性、回放保护、阻止对RTP数据流的拒绝服务式攻击等安全机制。通过SRTP，你可以对无线网和有线网上的VoIP通讯进行有效的保护。

　　总结

　　基于IP网络及其协议的公共性质，使得VoIP天生就具备相对于传统电话网而言更易受到攻击的特质。不过，通过采取一个仔细规划的、多层次的VoIP网络防护措施，企业就可以让VoIP网络的安全程度赶上甚至是超过传统的电话系统。
 

上一页  [1] [2]