高安全性
发布时间:2020/03/06 浏览量:605 下载量:1 产品版本:
由于IP网络的开放性,IP语音在发展过程中的安全性问题(比如如何防DoS攻击、防盗打、防窃听等)备受关注。尤其是政府机构及大中型企业,他们对IP语音安全性的要求更高。
专家表示:“很多公司都是在部署了VoIP网络之后才考虑安全问题,但任何成功的VoIP案例都在关键的开头部分就花费时间来理解组织需求和考虑相应的安全策略。”
那么到底有哪些安全策略呢?
防端口扫描/拒绝服务攻击
IP 语音通信常用的话音建立和控制信令是SIP协议,它是一套开放的协议体系。而目前互联网上存在大量的端口扫描工具,任何一个黑客都可以使用这些工具,获取IP 语音通信各个组成部分(语音服务器、语音网关、IP话机等)的详细信息:IP地址、服务应用的TCP/UDP端口等。
DoS拒绝服务攻击是目前网络上的一种简单但很有效的破坏性攻击手段,将造成计算机或网络无法提供正常服务。对IP语音通信系统各个组成部分的DoS攻击,将造成这些设备上操作系统资源被消耗殆尽。有些管理员在设置防火墙的时候,为了图简便,把所有端口都打开,以防无意中封掉有用的端口影响VoIP通信。这样就把整个设备暴露在网络上,不用的那些端口很容易遭到拒绝服务攻击。
预防DoS攻击常用的办法有:
- 禁用SSH/Ping/Telnet等服务
- 修改SIP/http/https等默认端口
在以前的传统电话中,需要预防搭线这样的盗打方式。在IP语音时代,虽然IP话机没办法通过搭线的方式来打电话,但通过窃取使用者的分机号码和密码,同样能够获得话机的使用权限。要避免IP电话被盗打,就需要保护好自己的账号信息(像保护银行卡账号一样)。对于企业来说,将账号和IP地址(甚至MAC地址)进行绑定,使得即使账号被窃,也不能在其它地方拨打电话。
预防电话被盗打的常用办法有:
- 设置Web/SSH访问白名单
- 定期修改Web登录密码和IP分机密码,并开启防暴力破解功能
- 设置呼叫权限,以及长途呼叫时长与频率管理规则
- 启用权限管理
- 启用User-Agent 头域保护和SIP授信地址
防信息窃听
要截获呼叫设置或SIP呼叫过程中的语音数据,必须位于呼叫通过的位置,即在电话服务厂商或者SIP一端。由于连接可能改变流量路由,因此截获SIP呼叫只有几个可实施点,即在SIP客户端、代理前端或者在两个终端所使用的ISP上。这个问题可以通过对SIP进行端到端加密来解决。
预防信息窃听的常用方式有:
- 采用TLS/SRTP数据加密
- 配合企业级会话边界控制器SBC使用(SBC被喻为“语音防火墙”,提供多种安全策略,如黑白名单、静态/动态防御、防DoS/DDoS/媒体流攻击、TLS/SRTP加密等)
- 如有条件,使用VPN网络(当然也要保护好VPN账号信息)
专人定期维护
在做好这些安全防御时,我们也建议企业对IP语音设备进行专人管理,以便定期关注设备的异常信息,包括:硬件故障、网络环境或SIP注册变化、异常登录、SIP攻击、并发或长途电话量过高、操作日志等信息,发现可疑情况需要及时处理。
迅时在不断提醒用户做好安全防范措施的同时,也在不断完善设备自身安全防范手段。同时,迅时全系列IP语音设备都通过了国内领先的企业级网络安全解决方案提供商——绿盟科技的“远程安全评估系统”网络安全认证。
专家表示:“很多公司都是在部署了VoIP网络之后才考虑安全问题,但任何成功的VoIP案例都在关键的开头部分就花费时间来理解组织需求和考虑相应的安全策略。”
那么到底有哪些安全策略呢?
防端口扫描/拒绝服务攻击
IP 语音通信常用的话音建立和控制信令是SIP协议,它是一套开放的协议体系。而目前互联网上存在大量的端口扫描工具,任何一个黑客都可以使用这些工具,获取IP 语音通信各个组成部分(语音服务器、语音网关、IP话机等)的详细信息:IP地址、服务应用的TCP/UDP端口等。
DoS拒绝服务攻击是目前网络上的一种简单但很有效的破坏性攻击手段,将造成计算机或网络无法提供正常服务。对IP语音通信系统各个组成部分的DoS攻击,将造成这些设备上操作系统资源被消耗殆尽。有些管理员在设置防火墙的时候,为了图简便,把所有端口都打开,以防无意中封掉有用的端口影响VoIP通信。这样就把整个设备暴露在网络上,不用的那些端口很容易遭到拒绝服务攻击。
预防DoS攻击常用的办法有:
- 禁用SSH/Ping/Telnet等服务
- 修改SIP/http/https等默认端口
- 开启静态/动态防御功能
在以前的传统电话中,需要预防搭线这样的盗打方式。在IP语音时代,虽然IP话机没办法通过搭线的方式来打电话,但通过窃取使用者的分机号码和密码,同样能够获得话机的使用权限。要避免IP电话被盗打,就需要保护好自己的账号信息(像保护银行卡账号一样)。对于企业来说,将账号和IP地址(甚至MAC地址)进行绑定,使得即使账号被窃,也不能在其它地方拨打电话。
预防电话被盗打的常用办法有:
- 设置Web/SSH访问白名单
- 定期修改Web登录密码和IP分机密码,并开启防暴力破解功能
- 设置呼叫权限,以及长途呼叫时长与频率管理规则
- 启用权限管理
- 启用User-Agent 头域保护和SIP授信地址
防信息窃听
要截获呼叫设置或SIP呼叫过程中的语音数据,必须位于呼叫通过的位置,即在电话服务厂商或者SIP一端。由于连接可能改变流量路由,因此截获SIP呼叫只有几个可实施点,即在SIP客户端、代理前端或者在两个终端所使用的ISP上。这个问题可以通过对SIP进行端到端加密来解决。
预防信息窃听的常用方式有:
- 采用TLS/SRTP数据加密
- 配合企业级会话边界控制器SBC使用(SBC被喻为“语音防火墙”,提供多种安全策略,如黑白名单、静态/动态防御、防DoS/DDoS/媒体流攻击、TLS/SRTP加密等)
- 如有条件,使用VPN网络(当然也要保护好VPN账号信息)
专人定期维护
在做好这些安全防御时,我们也建议企业对IP语音设备进行专人管理,以便定期关注设备的异常信息,包括:硬件故障、网络环境或SIP注册变化、异常登录、SIP攻击、并发或长途电话量过高、操作日志等信息,发现可疑情况需要及时处理。
迅时在不断提醒用户做好安全防范措施的同时,也在不断完善设备自身安全防范手段。同时,迅时全系列IP语音设备都通过了国内领先的企业级网络安全解决方案提供商——绿盟科技的“远程安全评估系统”网络安全认证。
