企業VOIP數據安全解決途徑的探討與實踐

摘要:多媒體應用與企業傳統網絡結合使得VOIP技術迅猛發展，VOIP成為現在以及未來會成為話音的主流技術。針對企業VOIP應用的攻擊日漸繁多。顧名思義，VOIP與運行在IP網絡上的其他基于IP的應用，如網頁瀏覽(web)和電子郵件(email)一樣有著共同的安全威脅和弱點，包括所有的來自IP網絡層的威脅。網管人員和郵件系統管理員迫切需要解決這些威脅還包括標準網絡安全技術和優秀的網絡設計試圖解決的問題。本文主要就如何通過采取一個仔細規劃的、多層次的VoIP網絡防護措施讓VOIP數據高枕無憂以及除了這些網絡層的若干威脅外，VOIP應用還需要面對一系列的協議和應用特有的威脅和一系列內容相關的威脅做一些討論。

關鍵詞:VOIP;網絡;協議;安全

中圖分類號:TN915.08

文獻標識號:A

Traffic inspection， business VOIP solution of data security

ZHANG Junhu1 GUO Limin2

(1. Hebi Vocational Technology College Electronics and Information Engineering， Hebi， Henan， 458030;2. Hebi Vocational Technology College of Modern Education Center， Hebi， Henan， 458030)

Abstract:Multimedia applications and enterprise integration of traditional network technology enables the rapid development of VOIP， VOIP as voice now and in the future will become the mainstream technology. VOIP applications for the enterprise growing variety of attacks. As the name suggests， VOIP and IP networks running on other IP-based applications such as web browsing (web) and e-mail (email) as a common security threats and vulnerabilities， including all the threats from the IP network layer. Network and mail system administrator urgent need to address these threats include standard network security technologies and network design to try to resolve outstanding issues. This article on how to take a carefully planned， multi-level VoIP network data protection measures for peace of mind as well as VOIP network layer in addition to a number of these threats， VOIP applications have to face a series of protocols and application-specific threats and a series of content-related threats to do some discussion.

Keywords: VOIP; Network; Agreement; Safety

作者簡介:張俊虎(1974-)，男，河南鶴壁人，漢族，碩士研究生，主要從事電子技術、通信技術、計算機網絡技術、單片機開發教學及研究;郭麗敏(1980-)，女，漢族，本科，高級實驗師，主要從事電子技術、通信技術及研究。

VOIP是Voice Over Internet Protocol的縮寫，它的用途是將模擬的聲音訊號經過壓縮與封包之后，以數據封包的形式在IP 網絡的環境進行語音訊號的傳輸[1]。媒體應用與企業傳統網絡結合使得VOIP技術的迅猛發展，IP語音逐漸成為企業網絡中的一個不可或缺的新成員。

簡單地說，VOIP即互聯網電話或是網絡電話。相比傳統電話，VOIP除了服務更多樣化外，節省電話費和漫游費是真正最具有競爭力的原因。但即使在VOIP技術廣泛應用的今天，VOIP的安全性仍屢遭質疑。

1 VOIP安全性的討論

既然PSTN(公共交換電話網絡)語音呼叫通常都不安全，那么 VOIP 呼叫真的還有必要具備安全性嗎?答案有兩重。首先，IP 網絡的分組性質使其比 PSTN 更易受到安全威脅。此外，就當前社會政治條件提出的新型安全顧慮而言，在我們的語音網絡中集成安全特性對服務供應商和最終用戶都有利。

從服務供應商的角度看，實施安全保障措施可避免各種破壞性行為，這些行為可能導致盜竊服務以及損失大筆收入等。此外，電話終端設備的實施和配置可能會使其好像有效的終端設備的克隆一樣，能夠在不為人知的情況下免費而有效地訪問服務。如果網絡黑客能夠成功訪問網絡設備、修改數據庫或復制設備的話，那么他們就會成為威脅。最后，諸如會話啟動協議(SIP)、H.323 以及媒體網關控制協議(MGCP)等分組網絡協議可通過訪問數據包進行操縱，從而修改協議信息，導致數據包目的地或呼叫連接的變化。

其他安全威脅會對最終用戶構成隱私威脅。黑客只需通過簡單的分組網絡“竊聽”，就能“聽到”語音載體通道，或“看到”呼叫設置(信令)信息，從而獲取詳細的呼叫信息。終端電話設備克隆經過配置，通過上述網絡協議操縱偽裝成其他無辜用戶，或“竊聽”正在進行的語音和相關信號傳送流量用于脫機分析，就能實現上述目的[2]。

盡管上述安全威脅切實存在，但這并不意味著 VOIP 部署是完全脆弱的。通過采取一個仔細規劃的、多層次的VoIP網絡防護措施，企業就可以讓VoIP網絡的安全程度趕上甚至是超過傳統的電話系統。

2 VOIP協議與IP協議的相互依存關系

VOIP協議也需要將這些特性應用在協議設計中。除此之外，VOIP應用實際上提供了很多非語音的服務，例如視頻會議、在線查詢服務(提供某人是否在線的信息、確定最佳的聯系方式等)，甚至是及時消息(Instant Messaging，IM)和分頁(Paging)服務。協議和應用相關的威脅包括大量的泛洪攻擊(flooding attack)和通話干擾威脅。干擾威脅包括通話終止攻擊(惡意攻擊者簡單地將通話切斷)和通話劫持攻擊(攻擊者接管通話)。在這些VOIP應用相關的威脅中，多數威脅在其他網絡應用中找不到直接的類似攻擊。

內容相關的安全威脅影響到VOIP通話的內容，包括個人對個人的通話、語音會議通話或者視頻會議通話。這類威脅包括簡單的未授權的通話監控或者竊聽、或通話劫持或通話滲透。雖然VOIP內容相關的威脅在email和web服務中有其類似的威脅，如垃圾郵件以及惡意或不正確的網頁內容，但是VOIP劫持或者滲透攻擊背后的技術顯然和email spam和惡意網頁內容技術相去甚遠[3]。

VOIP內容安全威脅和協議、應用安全威脅都是真實的，能夠被演示。SIPtap上描述的通話竊聽事件就是一個例子。其他可演示的威脅包括大量的泛洪攻擊、通話終止攻擊和通話劫持攻擊以及一些VOIP特有的拒絕服務攻擊。但是，這些威脅是已知的這個事實，并不是每個人都認識到了。

保護系統免受已知的VOIP攻擊的威脅是可能的。標準的安全技術、運用防火墻技術、實現好的設計和操作策略都是好的開始和必要的一步，但是這并不能解決所有的問題。標準安全技術能夠應付“標準的”威脅，但是專家級防范措施才能夠解決許多VOIP特有的威脅。

3 VOIP的網絡防護措施的具體實施

3.1 網絡層加密

使用IPSec加密來保護網絡中的VOIP數據;如果攻擊者穿越了VOIP服務器的物理層防護措施，并截獲VOIP數據包，也無法破譯其中的內容。IPSec使用認證頭以及壓縮安全有效載荷來為IP傳輸提供認證性、完整性以及機密性。

VoIP上的IPSec使用隧道模式，對兩頭終端的身份進行保護。IPSec可以讓VoIP通訊比使用傳統的電話線更安全。

3.2 會話層鎖定

使用TLS來保護VoIP會話，TLS使用的是數字簽名和公共密鑰加密，這意味著每一個端點都必須有一個可信任的、由權威CA認證(電子商務認證授權機構，Certificate Authority)的簽名;或者安全管理人員也可以通過一個內部CA(比如一臺運行了認證服務的Windows服務器)來進行企業內部的通話，并經由一個公共CA來進行公司之外的通話。

3.3 保護應用層

使用“安全RTP(SRTP)”來對應用層的介質進行加密。RFC3711定義了SRTP，讓它可以提供信息認證、機密性、回放保護、阻止對RTP數據流的拒絕服務式攻擊等安全機制。通過SRTP，安全管理員可以對無線網和有線網上的VoIP通訊進行有效的保護。

3.4 建立VoIP網絡的冗余機制

要時刻準備著可能會遭到病毒、DOS攻擊，它們可能會導致網絡系統癱瘓。構建能夠設置多層節點、網關、服務器、電源及呼叫路由器的網絡系統，并與不只一個供應商互聯。經常性的對各個網絡系統進行考驗，確保其工作良好，當主服務網絡癱瘓時，備用設施可以迅速接管工作。

3.5 配備專用防火墻

對一個IP網絡來說，邊界保護通常意味著使用防火墻，不過一個老舊的防火墻是不適合VoIP網絡的。你需要一個特別設計的防火墻，他得能識別和分析VoIP協議，能對VoIP的數據包進行深度檢查，并能分析VoIP的有效載荷以便發現所有和攻擊有關的蛛絲馬跡。

如果你的VoIP部署使用了SIP協議(Session Initiation Protocol)，那么防火墻就應當能執行下述操作:監視進出的SIP信息，以便發現應用程式層次上的攻擊;支持TLS(傳輸層安全);執行基于SIP的NAT及介質端口管理;檢測非正常的呼叫模式;記錄SIP信息的詳情，特別是未經授權的呼叫。

3.6 內外網隔離

將電話管理系統與網絡系統置于國際互聯網絡直接訪問之外是一個不錯的選擇，將語音服務與其它服務器置于相分離的域中，并限制對其訪問。

3.7 盡量減少軟終端

VoIP軟終端電話易于遭受電腦黑客攻擊，即使它位于公司防火墻之后，因為這種東西是與普通的PC、VoIP軟件及一對耳機一起使用的。而且，軟終端電話并沒有將語音和數據分開，因此，易于受到病毒和蠕蟲的攻擊。

3.8 限制所有的VoIP數據只能傳輸到一個VLAN上

Cisco理論建議對語音和數據分別劃分VLAN，這樣有助于按照優先次序來處理語音和數據、防御費用欺詐、DOS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計算機形成了一個有效的封閉的圈子，不允許任何其它計算機訪問其設備，從而避免了電腦的攻擊，VoIP網絡也就相當安全;即使受到攻擊，也會將損失降到最低[5]。

3.9 監控并跟蹤網絡的通信模式

使用監控工具和入侵探測系統能幫助用戶識別那些侵入VoIP網絡的企圖。詳細觀察VoIP日志可以幫助發現一些不規則的東西，如莫名其妙的國際電話或是本公司或組織基本不聯系的國際電話，多重登錄試圖破解密碼，語音暴增等。

3.10 定期進行安全檢查

要確信只有經過鑒別的設備和用戶，才可以訪問那些經過限制的以太網端口。管理員常常被欺騙，接授那些沒有經過允許的軟終端電話的請求，因為黑客們能夠通過插入RJ44端口輕易地模仿IP地址和MAC地址。

4 結束語

除了以上所論述之外，VOIP應用中還涉及到SIP會話初始化協議等等。其原理跟上文所述協議類似。出于安全的考慮，也需要啟用應用檢查。無論是什么協議，只要對其啟用了以上各項措施，都需要評估啟用了之后是否會對性能產生不利的影響。通常情況下，啟用了之后肯定會造成性能的下降。不過企業網絡部屬方案與環境不同，其造成的影響也是不同的。所以管理員需要測試與評估，看其是否在用戶能夠忍受的范圍之內。魚與熊掌不能夠兼得，用戶還是需要在這兩者當中進行選擇。一般情況下，只要不影響到IP電話的通話效果，還是要啟用為好。畢竟除了這個應用檢查之外，現在還沒有其他比較好的安全措施。

參考文獻

[1] [美]Jonathan Davidson，James Peters，Manoj Bhatia. VoIP技術構架[M]. 北京:人民郵電出版社，2008.

[2] 糜正琨. IP網絡電話技術[M]. 北京:人民郵電出版社，2008.

[3] 張登銀. VoIP技術分析與系統設計[M]. 北京:人民郵電出版社，2003.

[4] Elliot Lewis. 韓存兵，龔波譯 ，Configuring Cisco Voice Over IP[M]. 北京:機械工業出版社，2001.

[5] 宋真君. VOIP及融合通信項目實驗指導書[M]. 北京:電子工業出版社，2007.