您的位置: 网界网 > 周报全文 > 正文

[周报全文]IP通信防“流感”

2007年01月25日 13:35:47 | 作者:网络世界记者 张彤 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:采用VoIP产品不仅仅是添加了一部网络电话,如果不做好相应的防护措施,它很有可能成为黑客轻松进入企业内网的一扇门。

标签
IP通信
 

采用VoIP产品不仅仅是添加了一部网络电话,如果不做好相应的防护措施,它很有可能成为黑客轻松进入企业内网的一扇门。

VoIP的核心是将语音、数据整合在同一个IP网络上进行传输,以此实现对企业通信成本的节省。但是从应用的角度看,由于VoIP传输语音是基于传统的包交换方式,因此大量的语音数据包也给病毒和攻击者提供了更多的可乘之机。

中小企业没有足够的安全管理机制和维护人员,不可能像大型企业那样投入巨大的成本构建一层又一层的强大防御体系,因此中小企业对IP通信安全更集中在简单和有效上面。采用VoIP产品不仅仅是添加了一部网络电话,如果不做好相应的防护措施,它很有可能将成为黑客轻松进入企业内网的一扇门。

既然是以IP网络承载语音传输,那么大部分出现在IP网络上的安全问题,VoIP也不能置身事外。另外,VoIP应用的特殊性使其需要更具有针对性的措施来加强安全性。

独立VLAN传输

VoIP和数据整合在同一个网络中,从部署方式上看其最大的缺陷在于,因VoIP对带宽以及QoS的需求与数据并不相同,因此可能直接导致交换、路由以及网络上诸多安全设备的传输效能大大降低。

如果将VoIP数据与一般性数据进行甄别之后,分开传输无疑是保证不同数据流之间获得不同级别安全保障的恰当方法。具体方法是将语音和数据划分到不同的虚拟局域网(VLAN)中,让语音和数据在不同的VLAN上传输,这样可以简化服务质量(QoS)设置。QoS设置简化后,用户只需为VoIP虚拟局域网赋予优先级即可。

这样做的好处是既保证了语音和数据在同一个网络上传输,不需要增加新的带宽投资,又可以把两者分开,将语音流隐藏在VLAN中,从而有效地解决数据欺骗、DoS攻击等安全威胁影响到语音传输。

隔离加冗余

为所有语音数据流创建独立的VLAN,已经在一些传统的企业中得到了比较好的应用效果。北京威斯汀金融街大酒店为全部400多间客房配置了IP电话,同时也给每一个客房分配了一个专门用于IP语音传输的VLAN,该酒店电脑部工程师告诉记者,这种部署方式可以有效地保证IP语音的话音质量。另外,除了防护网络攻击的优点之外,独立的VLAN还可以大大降低窃听电话现象的发生。

另外一种有效的方法是将VoIP服务器从物理上隔绝内部和外部攻击,以避免别有用心者利用侦听技术来截取VoIP信息。具体方法是,锁定能够访问VoIP管理界面的IP地址和MAC地址(+本站微信networkworldweixin),同时在SIP网关前放置防火墙,以达到只允许合法用户进入相关VoIP系统的目的。

窃取VoIP账号是黑客借助VoIP网络伪装成合法客户,进入企业网络最常用的方法之一。这势必会引起网络流量骤增,引发DoS攻击几率大大增加。

通过部署合适的监视工具和入侵检测系统,可以发现试图攻入VoIP网络的各种尝试。另外,一旦发生DoS攻击或病毒导致网络瘫痪,冗余设计就是十分必要的保障手段,系统在遭受攻击后可以自动切换到另一套设备上,可以最大限度地减少掉线、延迟和呼叫失败等问题。

“道高一尺,魔高一丈”。有攻击就会有防范的手段,而有一种防护手段就还会有更多的攻击。这就像现在的“流感”一样,特效药不知道已经发明了多少种,但病毒也不断随之变异。至今,医学界也没有找到一种能够根除流感的方法,我们能做的就是更好地预防。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]